Юристы в России предупреждают о более строгих санкциях по новой норме закона, касающейся противозаконного сбора и использования личной информации. С января 2026 года действие этой статьи было распространено на владельцев автоматизированных сервисов. Уголовное дело может быть возбуждено даже в случаях незначительных утечек данных или ошибок, допущенных работниками.
Как сообщает РБК, в России расширили сферу действия статьи Уголовного кодекса, нацеленной на противодействие ботам для сбора персональных сведений. Правовые эксперты призывают компании и ответственных лиц обратить внимание на существенное ужесточение мер за несоблюдение правил обработки персональных данных после появления новой статьи.
По словам специалистов, опрошенных РБК, новая статья УК, созданная для борьбы с ботами для сбора информации, всё чаще служит основанием для уголовного преследования за незначительные корпоративные утечки данных. Под действие закона попадают не только создатели нелегальных сервисов, но и обычные сотрудники, совершившие мелкие нарушения.
Боты для сбора данных — это автоматизированные системы, которые находят и предоставляют личную информацию о человеке по известным фрагментам, таким как номер телефона или адрес электронной почты. Telegram-боты, предлагающие подобный поиск за небольшую плату, дают доступ к подробным сведениям практически о любом жителе России. Ключевой риск связан именно с незаконной передачей персональных данных.
Речь идёт о статье 272.1 УК РФ («Незаконные использование, передача, сбор и хранение компьютерной информации, содержащей персональные данные»), вступившей в силу 9 декабря 2024 года. Изначально её целью было привлечение к ответственности за разработку или использование ИТ-сервисов, в том числе ботов, для противозаконного распространения личных сведений. Согласно данным МВД, за десять месяцев 2025 года по этой статье было зарегистрировано 923 преступления. Власти также отмечали её эффективное применение против администраторов подобных ботов. Как ранее писал CNews, в начале 2025 года прекратил работу крупный бот «Глаз Бога», а в ноябре того же года был арестован Игорь Морозкин — владелец сервиса Userbox.
Ответственность по статье 272.1 стала применяться не только к владельцам ботов. Например, в марте 2025 года в Кировской области сотрудника салона связи задержали за пересылку через мессенджер нескольких десятков записей с персональными данными. В том же месяце в Кировске работника салона сотовой связи обвинили в передаче личных данных певца Ярослава Дронова, также известного как Shaman, и других абонентов.
В ноябре 2025 года в Башкортостане по аналогичному пункту закона был задержан гражданин, использовавший специальную аппаратуру для активации нескольких тысяч SIM-карт. 20 ноября судебным решением под домашний арест была взята начальник отдела службы судебных приставов в одном из районов Перми Надежда Шабунина. По данным следствия, она на рабочем месте получила доступ к корпоративной базе данных, откуда скопировала на мобильное устройство сведения об исполнительных производствах, а также личную информацию должников и взыскателей, зафиксировав всё видеосъёмкой.
Существенную угрозу теперь представляет и статья 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру (КИИ)». Данная норма вступила в силу в 2018 году и применяется к внутренним нарушителям, чьи действия могут быть расценены как преступление против КИИ, куда относятся информационные системы и сети органов власти, предприятий энергетики, финансового сектора, здравоохранения, транспорта и ряда других отраслей.
«Судебная практика демонстрирует, что личная флеш-карта, подключённая к рабочему компьютеру на объекте КИИ, или передача пароля сослуживцу — это уже не просто дисциплинарный проступок, а уголовно наказуемое деяние. Бизнесу необходимо переходить к политике полного недоверия к инсайдерам и строгому юридическому закреплению правил информационной безопасности», — подчеркнул управляющий партнёр RTM Group Евгений Царев.
Согласно информации RTM Group, в период с 1 января 2018 года по 31 октября 2025 года судами было рассмотрено 325 уголовных дел по статье 274.1, по 243 из них вынесены обвинительные приговоры (75% от общего числа). Как отмечено в исследовании, ключевая опасность для КИИ исходит от внутренних нарушителей: в 160 делах (около половины) присутствует признак использования служебного положения. Чаще всего к ответственности привлекают рядовых работников банков, телеком-операторов, медицинских и почтовых учреждений за действия, продиктованные корыстью, помощью знакомым или стремлением выполнить плановые показатели.
Аналитики RTM Group предполагают, что общее число приговоров по статьям 274.1 и 272.1 может увеличиться в десять раз к 2029–2030 годам. Основным фактором роста эксперты называют более активное использование статьи 272.1, которая в 2025 году проходила этап апробации.
Статьи 272.1 и 274.1 УК РФ имеют рамочную конструкцию и содержат общие формулировки, что позволяет правоприменительным органам широко интерпретировать эти нормы и привлекать к уголовной ответственности даже за действия, ранее считавшиеся административными нарушениями или незначительными дисциплинарными проступками, отмечает партнёр адвокатского бюро Pen & Paper Алёна Гришкова. «Обе статьи сформулированы как так называемые рамочные составы. Это означает, что в описании противоправного деяния используются абстрактные формулировки, и правоприменитель может использовать их по собственному усмотрению», — пояснила изданию РБК г-жа Гришкова. Она добавила, что для квалификации по статье 272.1 не обязательно наступление реального ущерба, достаточно самого факта неправомерного доступа к персональным данным, а вопрос о том, что именно относить к таким данным, остаётся на усмотрение следователя.
Партнер практики по уголовно-правовой защите бизнеса BGP Litigation Анатолий Логинов называет несколько системных сложностей в применении статьи 274.1 УК РФ, коренящихся в недостаточной урегулированности законодательства о критической информационной инфраструктуре (КИИ). Эксперт полагает, что нынешняя формулировка нормы дает следствию излишне широкие полномочия по самостоятельному установлению признаков состава преступления, что порождает серьезные риски в правоприменительной практике. Среди ключевых изъянов статьи юрист отмечает: неучет ряда важных технических и отраслевых специфик работы объектов КИИ; значительное совпадение формулировок с составом административного проступка (в первую очередь, со статьей 13.11 КоАП РФ), что стирает границу между административной и уголовной ответственностью; возможность при формальной квалификации рассматривать почти любое нарушение в сфере обработки персональных данных как уголовное деяние.
«На деле это означает, что любое, даже малозначительное отступление от предписаний закона о персональных данных может быть истолковано как преступление по статье 274.1 УК», — подчеркивает Анатолий Логинов. По его убеждению, действующая редакция нормы нуждается в существенной корректировке, направленной на: увеличение определенности и предсказуемости правового регулирования; установление ясных критериев для разграничения административной и уголовной ответственности; учет особенностей технологических процессов на объектах КИИ.
Как оценивает г-н Логинов, без внесения необходимых поправок сохраняется значительная вероятность субъективного применения статьи, что отрицательно влияет на инвестиционный климат и текущую операционную деятельность компаний, имеющих дело с персональными данными и объектами КИИ.
