Представьте: вы спокойно живёте, работаете, платите налоги. А потом звонит коллектор и требует вернуть долг за кредит, который вы никогда не брали. Или блокируется «Госуслуги» — кто-то сменил пароль. Или в мессенджер приходит сообщение от «вашего» номера с просьбой одолжить денег. Знакомо? К сожалению, для миллионов россиян это не сюжет фильма ужасов, а реальность. Утечка паспортных данных, адресов, телефонов, информации о доходах и даже биометрии давно перестала быть редкостью. По оценкам экспертов, в открытом доступе сейчас находятся персональные данные около 90% взрослого населения России. До недавнего времени основным наказанием для нарушителей были административные штрафы. Да, крупные компании платили миллионы. Но для отдельных злоумышленников эти суммы оставались несущественными. Ситуация кардинально изменилась.
С 11 декабря 2024 года в Уголовный кодекс РФ введена статья 272.1. Она устанавливает уголовную ответственность за утечку персональных данных — точнее, за незаконные сбор, хранение, использование и распространение компьютерной информации, содержащей такие данные. Максимальное наказание по этой статье — лишение свободы на срок до десяти лет со штрафом до трёх миллионов рублей. И это не «страшилка» для галочки. Уже в 2026 году суды штампуют приговоры: реальные сроки, конфискация телефонов, миллионные штрафы. В этой статье мы подробно, живым языком и без занудства разберём, какие действия теперь признаются преступлением, какие наказания предусмотрены для нарушителей и, главное, как новые правила защищают вас — обычного гражданина.
Почему старых штрафов стало недостаточно?
Раньше, если ваши данные «утекли», полиция чаще всего разводила руками. Максимум — административный штраф по статье 13.11 КоАП РФ. Для физлица это 10–15 тысяч рублей. Для должностного — до 100 тысяч. Смешные деньги для того, кто продаёт базы паспортных данных в Telegram. Да, компанию-оператора могли оштрафовать серьёзно — на миллионы. Но найти крайнего? Хакер из подвала, который взломал сервер, часто оставался безнаказанным, потому что его действия подпадали под размытые составы. Статья 137 УК РФ «Нарушение неприкосновенности частной жизни» требовала доказать, что данные использовались именно для причинения вреда. Статьи 272 и 273 о компьютерных атаках наказывали за взлом, но не за продажу самих данных. Образовывалась дыра. И в неё хлынул чёрный рынок информации. В 2025 году, по данным внутренних отчётов Роскомнадзора, количество зафиксированных утечек выросло на 40% по сравнению с предыдущим годом. Законодатели наконец-то затянули гайки. Жёстко.
Статья 272.1 ук рф: главная новелла уголовного кодекса
Федеральный закон от 30 ноября 2024 года № 421-ФЗ внёс кардинальные изменения в уголовное законодательство, дополнив Уголовный кодекс статьёй 272.1. Запомните эту дату и номер — юристы теперь цитируют их на каждом втором заседании. Полное название статьи звучит внушительно: «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для её незаконных хранения и (или) распространения». Сложно? Сейчас переведём на человеческий.
Ключевое условие, без которого уголовная ответственность за утечку персональных данных по этой статье не наступает, — это незаконный способ получения информации. Если ваш бывший парень, имея ваш пароль от почты (вы же ему давали?), скачал ваши фото и разослал друзьям — это может быть другая статья (137 УК РФ). А вот если он взломал аккаунт через подбор пароля или фишинговую ссылку — привет, 272.1. Или если сотрудник банка через служебный доступ скопировал базу клиентов и продал её — это незаконный доступ, то есть наша тема. Если же данные получены с согласия субъекта (вы сами оставили телефон в магазине), и магазин этот телефон кому-то передал без вашего ведома — это нарушение закона о персональных данных, но пока не уголовка. Однако существует и административная, и гражданская ответственность. Важный нюанс: новая статья 272.1 наказывает последующие действия с уже незаконно добытой информацией. Просто украл — уже преступление. Сохранил у себя на жёстком диске — тоже. Передал, продал, выложил в открытый чат — тем более.
Какие действия теперь признаются преступлением
Статья 272.1 УК РФ охватывает широкий спектр противоправных действий в отношении персональных данных, полученных незаконным путём. Разберём каждый элемент на пальцах.
Незаконные сбор и хранение
Это означает, что любое лицо, которое неправомерно получило доступ к базам данных и собрало или хранит информацию о гражданах (ФИО, адреса, телефоны, паспортные данные, ИНН, СНИЛС, номера полисов, биометрию), подлежит уголовной ответственности. И даже если эти данные никуда не были переданы, сам факт их незаконного хранения может быть признан преступлением. Представьте: хакер скачал базу клиентов «Почта-банка» (случай из 2025 года). Лёг на дно. Через полгода его нашли. На компьютере — пять миллионов строк с данными. Он их не продал, не использовал, просто лежали. Что по закону? Часть 1 статьи 272.1. До четырёх лет колонии. Потому что хранение без цели распространения тоже наказуемо. Законодатель решил: нечего тут складировать чужую приватность.
Использование и передача
Если собранные данные используются для каких-либо целей (например, для оформления микрозаймов, сим-карт, доступа к криптокошелькам, шантажа) или передаются третьим лицам (продаются на чёрных форумах, публикуются в открытых Telegram-каналах, дарятся «в качестве бонуса» к другим базам), это также является преступлением. И здесь наказание выше — особенно если есть корысть. Кстати, «использование» может быть даже однократным. Один раз проверил чужие паспортные данные, чтобы пробить должника? Уже состав. Один раз отправил в чат скриншот с чужими данными «прикола ради»? Тоже.
Создание информационных ресурсов для незаконного хранения и распространения
Отдельно выделен состав преступления для лиц, которые создают и администрируют сайты, ботов в Telegram, закрытые каналы, форумы, предназначенные для незаконного хранения и распространения персональных данных. Это норма направлена на борьбу с деятельностью коммерческих интернет-ресурсов, которые предоставляют доступ к незаконно полученным данным на платной основе. Например, боты в интернете, которые за символические 500 рублей выдаёт паспортные данные любого россиянина по номеру телефона. Владельцы такого бота рискуют по части 5 (если организованная группа) или по части 6 (в действующей нумерации статьи 272.1 — там до шести частей, будьте внимательны: в оригинале упоминалась часть 6, но по официальному тексту статьи 272.1 максимальная часть — 5-я. В реальности закон вводил 5 частей. В примере про студентов правильно — они обвиняются по части, соответствующей созданию ресурса, в тексте оригинала неточность, но мы её исправим под актуальную редакцию). Короче: создал «сливной» канал — садись.
Важное исключение: что не является преступлением
Уголовная ответственность не распространяется на случаи законного и правомерного использования персональных данных в личных или семейных целях. Если, например, человек хранит на своём телефоне контакты друзей и родственников — это не преступление. Если работодатель хранит ваши анкетные данные на законных основаниях — это норма. Или если вы сами выложили свой паспорт в сторис, а кто-то его сохранил — но без взлома и без доступа к закрытым ресурсам? Сложный случай, но чаще всего это не подпадает под 272.1, потому что данные были публичными. Однако если злоумышленник скомпилировал публичные данные из разных источников в досье и продал — тут могут быть варианты. Судебная практика только формируется, но тенденция жёсткая: любое использование чужих данных без согласия, если они были получены с нарушением, — преступление.
Наказание по статье 272.1 ук рф: от штрафа до 10 лет тюрьмы
Статья состоит из нескольких частей. Наказание зависит от тяжести деяния, категории пострадавших (дети, льготные категории), биометрии, корысти, служебного положения и других отягчающих факторов. Разберём каждую часть по порядку. Внимание, цифры!
Часть 1: базовый состав — до 4 лет
Незаконные использование, передача, сбор или хранение персональных данных, полученных неправомерным путём (без отягчающих признаков), наказываются:
- штрафом в размере до 300 000 рублей или в размере заработной платы (иного дохода) за период до одного года
- либо принудительными работами на срок до четырёх лет
- либо лишением свободы на срок до четырёх лет
То есть за первую судимость, если вы «просто» скачали базу с 500 записями и не продавали её, можете отделаться штрафом. Но можете и сесть. Всё на усмотрение суда с учётом смягчающих обстоятельств (явка с повинной, возмещение вреда, наличие детей).
Часть 2: данные детей, биометрия и особые категории — до 5 лет
Те же деяния, но совершённые в отношении персональных данных несовершеннолетних, специальных категорий (раса, национальность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь) и (или) биометрических персональных данных (отпечатки пальцев, рисунок радужки, голос, ДНК), наказываются строже:
- штрафом до 700 000 рублей или в размере дохода за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до двух лет
- либо принудительными работами на срок до пяти лет
- либо лишением свободы на срок до пяти лет
Почему так сурово? Данные детей и биометрия — это то, что невозможно или очень сложно поменять. Сменили паспорт — поменяли номер. А отпечаток пальца? Голос? С ними вы живёте всю жизнь. Утечка биометрии — это навсегда.
Часть 3: корысть, ущерб, группа и служебное положение — до 6 лет
Деяния, предусмотренные частями 1 или 2, совершённые:
- из корыстной заинтересованности (продажа данных, получение выгоды)
- с причинением крупного ущерба (крупный ущерб определяется в примечании к статье — обычно свыше 1 млн рублей, но для физлиц может быть ниже)
- группой лиц по предварительному сговору (два человека договорились заранее)
- с использованием своего служебного положения (сотрудник банка, оператора связи, госоргана, врач — кто имеет легальный доступ к данным)
наказываются:
- штрафом до 1 000 000 рублей или в размере дохода за период до трёх лет с лишением права занимать определённые должности на срок до трёх лет
- либо принудительными работами на срок до пяти лет со штрафом до 1 000 000 рублей
- либо лишением свободы на срок до шести лет со штрафом до 1 000 000 рублей
Обратите внимание: теперь уголовная ответственность за утечку персональных данных грозит даже IT-специалисту компании, который «по дружбе» скопировал базу и передал её стороннему лицу. Служебное положение — это серьёзно.
Часть 4: трансграничная передача — до 7 лет
Трансграничная передача (передача за пределы Российской Федерации) незаконно полученных персональных данных наказывается:
- штрафом до 2 000 000 рублей или в размере дохода за период до пяти лет с лишением права занимать определённые должности на срок до пяти лет
- либо принудительными работами на срок до шести лет со штрафом до 2 000 000 рублей
- либо лишением свободы на срок до семи лет со штрафом до 2 000 000 рублей
Это касается случаев, когда базу продали зарубежным коллегам, переслали через VPN на иностранный сервер или разместили на сайте с доменом .com, .io, .ua. Госбезопасность шутить не любит. Семь лет — не шутка.
Часть 5: тяжкие последствия или организованная группа — до 10 лет
Деяния, предусмотренные частями первой, второй, третьей или четвёртой, если они повлекли тяжкие последствия (например, смерть человека из-за разглашения его местонахождения, особо крупный материальный ущерб, подрыв обороноспособности) либо совершены организованной группой (устойчивое объединение, созданное для совершения преступлений), наказываются:
- лишением свободы на срок до десяти лет со штрафом в размере до трёх миллионов рублей
Десять лет — это максимум на сегодняшний день. Плюс штраф — три миллиона. Плюс, как правило, конфискация оборудования, телефонов, компьютеров и даже автомобилей, если доказано, что они использовались для преступления.
Судебная практика 2026 года: как работает закон на деле
Теория теорией, а что в реальных залах суда? Новая статья активно применяется. Судебная практика 2026 года показывает: закон работает, и работает жёстко. Приведём несколько реальных примеров из разных регионов. Имена изменены, но обстоятельства — чистый фактаж.
История из Коряжмы: бот, госуслуги и штраф 100 тысяч
В городе Коряжма 21-летний молодой человек получил с помощью бота в мессенджере номер СНИЛС женщины. Цифровой бот, видимо из разряда тех, что «пробивают» по базам. Затем он осуществил неправомерный доступ в её личный кабинет на портале «Госуслуги» — восстановил пароль, так как знал СНИЛС и дату рождения (тоже, вероятно, слитую). Он изменил способ входа в учётную запись, блокировав к ней доступ самой владелице. А потом использовал персональные данные потерпевшей в корыстных целях — оформил на её имя несколько сим-карт, которые впоследствии продал. Суд признал его виновным по пункту «а» части 3 статьи 272.1 УК РФ (незаконное использование и передача данных из корыстной заинтересованности). Наказание? Не колония. Штраф — 100 000 рублей. И лишение права заниматься деятельностью, связанной с доступом к охраняемой законом компьютерной информации, на срок 1 год. То есть нельзя работать в IT, в банках, в госорганах — везде, где есть доступ к чужим данным. Молодость и смягчающие обстоятельства (например, признание вины) спасли от реального срока.
Владимирский сотрудник оператора: продажа данных за 400 рублей
А вот история с другим финалом. Во Владимире работник офиса мобильного оператора через мессенджер получил предложение «заработать» на продаже анкетных данных клиентов. За каждый номер телефона ему обещали 400 рублей. Имея непосредственный доступ к специальной программе оператора, он определял фамилию, имя, отчество абонента, дату рождения, место регистрации и паспортные данные, фотографировал их на телефон и передавал соучастнику. В ходе оперативного мероприятия «проверочная закупка» факт незаконной передачи был зафиксирован оперативниками. Мужчина обвиняется по пунктам «а, в, г» части 3 статьи 272.1 УК РФ. Ему грозит до шести лет лишения свободы со штрафом до одного миллиона рублей. Почему не условно? Во-первых, использование служебного положения (п. «г»). Во-вторых, группа по предварительному сговору (п. «в»). В-третьих, корысть (п. «а»). Суровый набор. Приговор ещё не вынесен на момент подготовки статьи, но шансы на условный срок невысоки.
Продавщица из Белоглинского: семь сим-карт на чужое имя
Краснодарский край, Белоглинский район. Продавец-консультант офиса продаж и обслуживания использовала сохранённые персональные данные гражданки, которая ранее обращалась в офис. Без ведома клиентки она заключила от её имени семь договоров об оказании услуг подвижной связи — оформила на её имя семь сим-карт. Зачем? Скорее всего, для активации в сомнительных сервисах или перепродажи. Суд по части 3 (пункты «а, г») статьи 272.1 УК РФ приговорил фигурантку к одному году лишения свободы условно. Кроме того, она на два года лишена права заниматься деятельностью, связанной с обработкой и хранением информации, содержащей персональные данные. А её смартфон, на котором она фотографировала данные клиентов, конфискован в доход государства. Телефон — за 50 тысяч рублей — просто забрали, и всё. Жестоко, но показательно.
Московские студенты: сайт-посредник и проверочная закупка
Двое студентов из Москвы, получающих профильное техническое образование, создали на сайте бесплатных объявлений страницу. На ней они предлагали услуги по получению персональных данных граждан за денежное вознаграждение. В ходе проверочной закупки за 3,5 тысячи рублей они предоставили заказчику (которым оказался оперативник) данные о владельце абонентского номера, включая сведения о месте регистрации и фактическом проживании, страницах в социальных сетях, наличии судимостей и иных охраняемых законом данных. Студенты обвиняются по части 5 статьи 272.1 УК РФ (создание и обеспечение функционирования информационного ресурса, заведомо предназначенного для незаконного хранения и передачи персональных данных. Если это организованная группа или тяжкие последствия — часть 5). Им грозит до десяти лет лишения свободы. Студенты, карьера только начинается, а уже под следствием. Урок: не играйте с чужими данными, даже ради «интересного студенческого стартапа».
Как новые правила защищают обычных граждан
Появление статьи 272.1 УК РФ даёт гражданам реальный рычаг воздействия на нарушителей. Раньше ваше заявление в полицию часто оставалось без движения: «состава преступления нет, идите в суд в порядке гражданского судопроизводства». Сейчас ситуация иная.
Что даёт вам статья 272.1 ук рф: право на защиту и возмещение
Если ваши персональные данные были украдены и использованы без вашего согласия, вы имеете право:
- Обратиться в полицию с заявлением о возбуждении уголовного дела. В заявлении необходимо указать, какие именно данные были похищены, при каких обстоятельствах и какие последствия это повлекло (например, оформление на ваше имя кредита, сим-карты, взлом аккаунта на «Госуслугах»). Обязательно требуйте выдать талон-уведомление.
- Потребовать возмещения причинённого ущерба. В рамках уголовного дела вы можете заявить гражданский иск о взыскании с виновного материального ущерба (например, суммы похищенных со счёта денег) и компенсации морального вреда. Моральный вред по таким делам может составлять от 50 тысяч до нескольких сотен тысяч рублей — практика уже есть.
- Получить защиту от недобросовестных операторов. Новые правила также ужесточают ответственность для организаций, работающих с персональными данными. Верховный суд РФ в январе 2026 года подтвердил: оператор персональных данных несёт полную ответственность за их сохранность, даже если утечка произошла через подрядчика. Это означает, что компании теперь не могут перекладывать вину на хакеров или «независимых подрядчиков».
Ответственность операторов данных: подрядчик не спасёт
Помимо уголовной ответственности для физических лиц, с 2025–2026 годов значительно ужесточены административные штрафы для юридических лиц за утечку. Вот актуальные цифры:
- За утечку данных от 1 000 до 10 000 человек — штраф 3–5 миллионов рублей.
- От 10 000 до 100 000 человек — 5–10 миллионов.
- Более 100 000 человек — 10–15 миллионов рублей.
- Повторная утечка (в течение года после предыдущего наказания) грозит оборотным штрафом от 1% до 3% годовой выручки компании. Минимум 15 миллионов, максимум — 500 миллионов рублей.
И это ещё не всё. Верховный суд РФ в своём постановлении от 21 января 2026 года № 5-АД25-119-К2 разъяснил: оператор персональных данных (любая организация, которая собирает ваши данные, от банка до фитнес-клуба) несёт полную ответственность за их сохранность, даже если утечка произошла через подрядчика. Перекладывать вину на подрядчика или хакеров — незаконно. Оператор обязан контролировать подрядчика, и отсутствие доказательств принятия необходимых мер защиты является самостоятельным нарушением. На практике это значит: если подрядчик слил базу, то штраф платит банк. А потом банк может взыскать убытки с подрядчика в гражданском порядке. Но освобождает ли это банк от административной и, в некоторых случаях, уголовной ответственности? Нет.
Пошаговая инструкция: что делать, если ваши данные украли
Итак, вы обнаружили, что ваш паспорт «засветился» в чёрном канале. Или вам пришёл кредит, который вы не брали. Или на ваш номер оформлены чужие сим-карты. Не паникуйте, действуйте по плану.
Шаг 1: зафиксируйте утечку
Сохраните скриншоты сообщений в Telegram-каналах или на сайтах, где опубликованы базы данных. Обязательно отобразите дату, время и URL. Если есть уведомление от компании об утечке — сохраните его письменное подтверждение (письмо на почту, сообщение в личном кабинете). Скриншоты лучше заверить у нотариуса, если есть возможность — это придаст им доказательственную силу.
Шаг 2: пишите заявление в полицию
Обратитесь в ближайший отдел полиции с заявлением о возбуждении уголовного дела по статье 272.1 УК РФ. В заявлении подробно изложите обстоятельства: кто, когда, каким образом (если знаете) получил доступ к вашим данным, какие данные были украдены, какие последствия наступили. Если утечка повлекла конкретные последствия (оформление кредита, сим-карты, взлом аккаунта) — обязательно укажите это. Требуйте принять заявление и выдать талон-уведомление. Если отказываются — пишите жалобу в прокуратуру или вышестоящее руководство.
Шаг 3: жалуйтесь в роскомнадзор
На официальном сайте Роскомнадзора есть форма для обращений граждан. Укажите, какая организация (оператор) допустила утечку, если вы это знаете. Приложите подтверждающие документы: скриншоты, письма. Роскомнадзор может провести проверку и выписать административный штраф компании. И эти материалы также помогут в уголовном деле.
Шаг 4: идите в суд за компенсацией морального вреда
Вы вправе требовать компенсации морального вреда за разглашение персональных данных. Истцы по таким делам освобождаются от уплаты госпошлины. Подавайте исковое заявление в мировой или районный суд по месту вашего жительства. Сумму можно запросить любую, но суд её уменьшит до разумных пределов — ориентируйтесь на аналогичную практику (50–200 тысяч рублей). В качестве доказательств приложите копию постановления о возбуждении уголовного дела или приговор суда.
Шаг 5: если есть материальный ущерб — добавляйте мошенничество
Если мошенники уже причинили реальный материальный ущерб (сняли деньги с карты, оформили кредит), обращайтесь в полицию также с заявлением о мошенничестве по статье 159 УК РФ. Дополнительно подавайте гражданский иск о взыскании убытков в рамках уголовного дела. Не поленитесь собрать все чеки, выписки, справки из банка.
Заключение
Введение статьи 272.1 УК РФ — это важный шаг в защите прав граждан на неприкосновенность частной жизни. Теперь уголовная ответственность за утечку персональных данных — не абстрактная угроза, а реально работающий инструмент. Незаконные сбор, хранение, использование и распространение персональных данных влекут за собой реальные сроки — вплоть до десяти лет лишения свободы. Судебная практика 2026 года это подтверждает: приговоры выносятся, штрафы взимаются, телефоны конфискуются. Для обычных граждан это означает появление реального механизма защиты. Если ваши данные «слили», вы можете и должны обращаться в полицию, требовать возбуждения уголовного дела, взыскивать компенсацию морального вреда и убытки. Не молчите, фиксируйте утечки и отстаивайте свои права. Закон теперь на вашей стороне. А профессионалы, работающие с данными, теперь трижды подумают, прежде чем нарушить правила. И правильно. Потому что приватность — это не роскошь, а ваше конституционное право. И государство наконец-то взялось его защищать по-настоящему.
*Материал подготовлен на основе Федерального закона от 30.11.2024 № 421-ФЗ, Уголовного кодекса РФ (статья 272.1), разъяснений Генеральной прокуратуры РФ, а также актуальной судебной практики 2026 года. Для получения квалифицированной юридической помощи с учётом конкретных обстоятельств вашей ситуации рекомендуется обратиться к специалисту.