Персональные данные: прогноз на 2026 год

Если десять лет назад хакеров интересовали только компании-гиганты, в основном в столице и нескольких городах-миллионниках, а пять лет назад – крупный и средний бизнес, в том числе в регионах, то сейчас с инцидентами сталкиваются даже индивидуальные предприниматели, самозанятые и просто физические лица.

Автор: Ксения Шудрова, эксперт по информационной безопасности

В этом году мы столкнулись не только с большими утечками персональных данных, но и с инцидентами информационной безопасности микромасштаба. Наблюдали введение оборотных штрафов, массовые регистрации новых операторов в реестре персональных данных, огромное количество жалоб субъектов, снижение числа утечек, многочисленные кибератаки и появление в связи с этими обстоятельствами разнообразных законопроектов и общественных инициатив. Фокус внимания как операторов, так и субъектов, был прикован к персональным данным. Что же готовит нам новый год?

Утечки или кибератаки

В 2025 г. появился оптимистичный тренд на стабильное уменьшение количества утечек персональных данных. Хотя их общее число остается высоким (к началу ноября было зафиксировано 103 случая), масштаб утечек кратно уменьшился с 710 млн записей в прошлом году до 50 млн записей в этом1. Причины могут быть самые разные. Во-первых, важную роль сыграло появление специализированной статьи в Уголовном кодексе РФ2 и ужесточение административной ответственности, в том числе появление оборотных штрафов3. Во-вторых, среди специалистов бытует мнение, что все уже слито. В-третьих, и это самое печальное, укрепляется тревожная тенденция – увеличение числа кибератак, не приводящих к утечкам, но ведущих к невозможности осуществления основной деятельности организации. Под удар уже попадали медицинские организации, авиакомпании, провайдеры, образовательные учреждения, промышленные предприятия, мелкий бизнес и физические лица не только в России, но и по всему миру. Атаки стали адресными, продуманными и точными. Злоумышленники не жалеют времени на предварительный этап, тщательно собирая информацию о жертве. Они могут довольно долго находиться в корпоративной сети, не причиняя ей ущерб, чтобы потом в одночасье парализовать работу компании.

Прогноз: многочисленные атаки продолжатся. Многие из них не будут приводить к сливам данных, но могут повлечь за собой крах отдельно взятого бизнеса или существенный ущерб ему, как финансовый, так и репутационный.

Оборотные штрафы

В первой половине этого года мы наблюдали масштабную истерию: успеть всё доделать и подать уведомление до 30 мая. Количество запросов в поисковиках на тему защиты персональных данных превышало все допустимые значения, а новые специалисты по защите личной информации появлялись с быстротой грибов после дождя. У всех на устах было словосочетание "оборотные штрафы". Кто же будет первым? Вопрос остается открытым – пока штрафы ни к кому не применялись. Но, скорее всего, мы можем узнать о первом оборотном штрафе уже в 2026 г. В СМИ говорится о подготовке Минцифры совместно с ФСТЭК России, ФСБ России и Ассоциацией больших данных (АБД) списка смягчающих обстоятельств4.

Прогноз: операторы получат подробный список требований, при выполнении которых наказание в случае утечки будет смягчено. Сейчас же довольствуемся формулировкой смягчающих обстоятельств из ч. 3.4-2 ст. 4.1. КоАП РФ.

Уголовная ответственность

Воровство и продажа чужих персональных данных существовали и раньше: чего стоят только диски с базами, которые активно реализовывались лет пятнадцать-двадцать назад, но специализированная статья появилась только в конце 2024 г. Будем наблюдать за формированием судебной практики.

Если оборотные штрафы еще не применялись, то первые дела по ст. 272.1 УК РФ "Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения" уже появляются в разных регионах5.

Прогноз: ужесточение ответственности заставит многих потенциальных торговцев персональными данными остановиться и придумать себе более безопасные бизнес-идеи. Самых упорных будут наказывать.

Страхование

Уже несколько лет в СМИ появляется информация о необходимости страхования рисков утечки персональных данных. Возможно, в 2026 г. мы увидим воплощение этой идеи6.

На сегодняшний день существует две проблемы:

1. Невозможность определить размер ущерба без суда.
2. Низкий фактический размер выплат – до 5 тыс. руб. (по результатам анализа судебной практики).

Прогноз: появится регламент для дифференциации размера ущерба в зависимости от типа данных, будет определен порядок уведомления пострадавших, а также механизм формирования фонда страхования и контроля за выплатами.

Реестр согласий

Хочу отметить интересный блуждающий тренд – реестр согласий. В конце октября активно обсуждался пакет поправок по борьбе с кибермошенниками, который подготовило Минцифры. Он включает в себя около двадцати инициатив, в том числе там содержалось упоминание о создании реестра согласий7. В первоначальной задумке к ст. 5 должно было появиться дополнение, позволяющее давать согласие на обработку как непосредственно, так и с использованием федеральной государственной информационной системы ЕСИА в случаях, определенных Правительством РФ, для отрасли финансов – с привлечением ЦБ РФ. Запуск данного механизма планировался на 1 сентября 2028 г. Однако в конце ноября упоминания реестра из текста законопроекта были полностью убраны.

Прогноз: единый реестр согласий вполне может появиться. Если, впрочем, не воплотится в жизнь следующий по списку тренд.

Отказ от согласий

Со стороны регулятора прозвучала идея полного отказа от согласий на обработку персональных данных. Предлагается заменить согласия на отраслевые стандарты, например для сферы образования или туризма8.

Прогноз: скорее всего, исчезновение из текста антифрод-поправок упоминания реестра согласий и появление в информационном поле заявлений регулятора о необходимости менять подход и переходить к отраслевым стандартам перерастет в устойчивый тренд. Однако создание стандартов займет какое-то время, останутся также частные ситуации, например касающиеся микробизнеса и прямых продаж физическим лицам, поэтому согласия будут актуальны еще долгое время.

Спецоператоры

Несмотря на то, что в СМИ регулярно появляется упоминание спецоператоров, представители регулятора пока видят затруднения с формированием института спецоператоров9. В первую очередь, из-за перегрузки потенциальных исполнителей – ИТ-компаний. Во вторую, из-за неготовности бизнеса, потенциальных заказчиков услуги.

Прогноз: возможно, не дожидаясь созревания рынка, спецоператоры появятся в виде требования подключения к ним в определенных случаях.

Микротренды

Законопроекты, которые, скорее всего, будут приняты в следующем году:

1. Надзор за лицами, освобожденными из мест лишения свободы. Законопроект о внесении изменений в ст. 11 ФЗ "О персональных данных" № 1076160-810. Будет осуществляться передача персональных данных, в том числе биометрических, поднадзорных лиц третьей стороне без их письменного согласия при осуществлении наблюдения и (или) розыска.
2. Трансграничная передача. Законопроект о внесении изменений в ст. 12 ФЗ "О персональных данных" № 951518-811. Снижается важность Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.
3. Реестр операторов. Законопроект о внесении изменения в ст. 22 ФЗ "О персональных данных" № 928282-812. Добавлены сведения об адресе оператора, если он является физическим лицом или индивидуальным предпринимателем.
4. Штрафы за несоблюдение правил при переходе железнодорожных путей. Законопроект № 16250513. Новое основание для обработки биометрии без согласия в соответствии с законодательством Российской Федерации о железнодорожном транспорте.

Что же делать?

Персональные данные стали новой валютой. Злоумышленники их воруют, перепродают, шантажируют ими, используют их для проведения маркетинговых исследований, а также незаконно собирают, подделывают, уничтожают и распространяют персональные данные без согласия. Уберечь свои базы данных становится все более сложно, но возможно, если защита носит системный характер.

• Работайте над защитой персональных данных не для галочки и как можно подробнее всё документируйте.
• Изучайте все доступные кейсы – как представленные в СМИ, так и пересказанные коллегами, услышанные на конференциях и круглых столах. Учитесь на чужих ошибках!
• Будьте всегда готовы к атаке.

Удачного года!

1. https://tass.ru/obschestvo/25505375
2. УК РФ ст. 272.1. Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.
3. КоАП РФ ст. 13.11. Нарушение законодательства Российской Федерации в области персональных данных.
4. https://rubda.ru/media_assocation/minczifry-i-biznes-obsuzhdayut-smyagchayushhie-obstoyatelstva-pri-utechke-dannyh/
5. https://kirovsky--lo.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=case&case_id=306153956&case_uid=0790c9ad-e17b-4314-80f4-77e8d06eca22&delo_id=1540006&new=
6. https://iz.ru/1962134/mariia-kolobova/v-rf-gotovyatsya-zapustit-strahovanie-ot-utechek-personalnyh-dannyh
7. https://regulation.gov.ru/projects/159652/
8. https://www.interfax.ru/russia/1055703
9. https://cisoclub.ru/v-roskomnadzore-nazvali-dve-prichiny-meshajushhie-zapusku-specoperatorov-po-zashhite-personalnyh-dannyh-v-rossii
10. https://sozd.duma.gov.ru/bill/1076160-8
11. https://sozd.duma.gov.ru/bill/951518-8
12. https://sozd.duma.gov.ru/bill/928282-8
13. https://regulation.gov.ru/projects/162505/