сотрудник
В статье рассматриваются актуальные вопросы правового регулирования защиты персональных данных в условиях цифровизации общественных отношений. Проанализированы последние изменения российского законодательства о персональных данных, включая ужесточение административной ответственности операторов, введение новых требований к уведомлению уполномоченных органов, а также расширение возможностей обработки обезличенных данных без согласия субъектов персональных данных. Особое внимание уделено правовым рискам, возникающим в связи с развитием технологий искусственного интеллекта, автоматизированного принятия решений и обработки больших данных. Выявлены ключевые вызовы современного правового регулирования, обусловленные технологическим опережением законодательства, массовыми утечками персональных данных, трансграничной передачей информации и неопределённостью критериев вины операторов. Обоснована необходимость комплексного подхода к минимизации правовых рисков, включающего совершенствование законодательства, развитие правоприменительной практики и повышение правовой грамотности участников цифровых отношений.
персональные данные; цифровизация; защита информации; правовые риски; обезличенные данные; административная ответственность; оператор персональных данных; искусственный интеллект.
Цифровизация всех сфер общественной жизни привела к существенному увеличению объемов, собираемых и обрабатываемых персональных данных, а также к усложнению способов их использования. В условиях активного внедрения цифровых платформ, технологий искусственного интеллекта и анализа больших данных особую значимость приобретает проблема правового обеспечения защиты персональных данных. Нарушения в данной сфере способны повлечь не только имущественный и моральный вред гражданам, но и подорвать доверие к государственным и коммерческим цифровым сервисам.
Базовым нормативным правовым актом, регулирующим отношения, связанные с обработкой персональных данных, в настоящее время является Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»[1]. Важно отметить, что сегодня в сфере регулирования отношений, связанных с обработкой персональных данных, произошли самые существенные изменения. Эти изменения, вступили в силу поэтапно и в целом ужесточили требования, ответственность и контроль в сфере обработки персональных данных.
Рассмотрим наиболее значимые изменения:
1)Федеральный закон от 30 ноября 2024 г. № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»[2]. Указанным законом были значительно увеличены размеры административных штрафов, предусмотренных статьей 13.11 КоАП РФ, для физических, должностных и юридических лиц. Кроме того, указанная статья была дополнена частями 10-18, устанавливающими ответственность за неисполнение или несвоевременное исполнение обязанности оператора по уведомлению уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных.
2)Федеральный закон от 28 февраля 2025 г. № 23-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации» внес изменения в Федеральный закон от 27 июля 2006 г. № 152-ФЗ и иные нормативные правовые акты, определив особенности обработки персональных данных сотрудников органов федеральной службы безопасности, внешней разведки, государственной охраны, внутренних дел, а также лиц, подлежащих государственной защите[3]. Закон закрепил право соответствующих органов направлять обязательные для исполнения предписания владельцам информационных систем и баз данных о предоставлении доступа к ним в целях обработки персональных данных указанных категорий лиц.
3) Существенное значение для практики обработки персональных данных имеет Федеральный закон от 24 июня 2025 г. № 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации», которым установлено требование об отдельном оформлении согласия на обработку персональных данных, не допускающем его включение в иные документы[4].
4) Федеральный закон от 8 августа 2024 г. № 233-ФЗ «О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации – городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных» закрепил возможность обработки надлежащим образом обезличенных персональных данных без получения согласия субъекта с 1 сентября 2025 г.[5]. Указанный закон дополнил Федеральный закон от 27 июля 2006 г. № 152-ФЗ новой статьей 13.1, регламентирующей обращение с обезличенными персональными данными и вводящей понятие «состав обезличенных данных». Законодатель также предусмотрел механизм обязательного предоставления обезличенных данных в государственную информационную систему по требованию Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, при одновременном запрете использования биометрических персональных данных в таких целях.
Несмотря на активное развитие нормативного регулирования, в сфере защиты персональных данных сохраняется ряд системных правовых вызовов.
1.Одним из них является технологическое опережение правового регулирования. Законодательство о персональных данных, в частности Федеральный закон № 152-ФЗ, разрабатывалось и принималось в условиях иного уровня цифровизации и сегодня не всегда учитывает современные способы обработки данных, такие как: машинное обучение и анализ больших данных (Big Data); автоматизированное принятие решений; использование нейросетей и рекомендательных алгоритмов; обработка поведенческих и производных данных.
В результате возникают правовые неопределённости в части:
- отнесения новых типов информации к персональным данным;
- допустимости вторичной обработки данных;
- оценки законности алгоритмической обработки без прямого участия человека.
Это создаёт риски как для операторов персональных данных, так и для субъектов, чьи права могут быть нарушены в отсутствие чётких правовых гарантий.
2. Серьёзной проблемой остаётся расширение понятия персональных данных и сложность их идентификации. Использование косвенных цифровых идентификаторов позволяет осуществлять повторную идентификацию личности даже на основе обезличенных сведений, что затрудняет разграничение персональных и неперсональных данных.
С правовой точки зрения существует проблема: определения момента, когда обезличенные данные перестают быть таковыми; разграничения персональных данных и технической информации; оценки риска повторной идентификации субъекта.
Отсутствие единых критериев порождает неоднородную правоприменительную практику и повышает риск привлечения операторов к ответственности.
3. Массовые утечки персональных данных и коллективный вред. Одной из наиболее острых проблем является массовый характер утечек персональных данных, при котором ущерб причиняется неопределённому кругу лиц. Правовые сложности в данной сфере связаны с тем, что:
- трудно установить конкретный объём вреда каждому субъекту;
- отсутствуют эффективные механизмы коллективной защиты прав;
- судебная практика по компенсации морального вреда остаётся противоречивой.
Кроме того, существующая система ответственности часто не соразмерна реальным последствиям утечек, что снижает превентивную функцию права.
4. Трансграничная передача и локализация персональных данных
В условиях глобализации цифровых сервисов особое значение приобретает проблема трансграничной передачи персональных данных. Введение требований о локализации данных граждан РФ усилило правовую защиту, однако породило новые вызовы:
- необходимость технической перестройки IT-инфраструктуры;
- правовые коллизии с международными обязательствами;
- сложности для образовательных, научных и коммерческих платформ, использующих зарубежные сервисы.
Операторы вынуждены балансировать между требованиями национального законодательства и логикой глобальной цифровой экономики.
5. Рост ответственности операторов и неопределённость критериев вины. Ужесточение административной ответственности за нарушения в сфере персональных данных сопровождается нечеткостью критериев оценки добросовестности оператора. В частности, остаётся дискуссионным вопрос:
- какие меры безопасности считаются достаточными;
- где проходит граница между технической ошибкой и правонарушением;
- как учитывать влияние человеческого фактора.
Это повышает регуляторные риски и создаёт правовую неопределённость для организаций, даже при наличии формально выстроенной системы защиты данных.
6. Автоматизированные решения и дискриминационные риски. Использование алгоритмов и искусственного интеллекта при обработке персональных данных формирует новый пласт правовых вызовов, связанных с: непрозрачностью алгоритмов; невозможностью объяснить логику принятия решений; риском дискриминации отдельных групп лиц.
Действующее российское законодательство пока не содержит комплексного регулирования автоматизированных решений, что ограничивает возможности защиты прав субъектов персональных данных.
7. Недостаточная правовая грамотность участников цифровых отношений. Отдельным системным вызовом остается низкий уровень правовой и цифровой грамотности как субъектов персональных данных, так и отдельных операторов. Это приводит к:
- игнорированию требований законодательства;
- формальному подходу к защите данных;
- слабому использованию правовых механизмов защиты.
Таким образом, защита персональных данных в условиях цифровизации представляет собой комплексную и многоуровневую задачу современного правового регулирования. Российское законодательство последовательно развивается в направлении усиления защиты прав субъектов персональных данных и повышения ответственности операторов, однако эффективность этих мер во многом зависит от качества правоприменительной практики, уровня информационной безопасности и правовой культуры участников цифровых отношений. Минимизация правовых рисков в данной сфере возможна лишь при интеграции правовых, технических и организационных механизмов защиты персональных данных.
1. О персональных данных. Федеральный закон от 27 июля 2006 г. № 152-ФЗ // Собрание законодательства Российской Федерации от 31 июля 2006 г. № 31 (часть I) ст. 3451. DOI: https://doi.org/10.1353/abr.2006.0111
2. О внесении изменений в Кодекс Российской Федерации об административных правонарушениях. Федеральный закон от 30 ноября 2024 г. № 420-ФЗ // Собрание законодательства Российской Федерации, 2 декабря 2024 г. № 49 (часть IV) ст. 7411.
3. О внесении изменений в Федеральный закон «О персональных данных» и отдельные законодательные акты Российской Федерации. Федеральный закон от 28 февраля 2025 г. № 23-ФЗ // Собрание законодательства Российской Федерации, 3 марта 2025 г. № 9 ст. 852.
4. О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации. Федеральный закон от 24 июня 2025 г. № 156-ФЗ // Собрание законодательства Российской Федерации, 30 июня 2025 г. № 26 (часть I) ст. 3486.
5. О внесении изменений в Федеральный закон «О персональных данных» и Федеральный закон «О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона «О персональных данных». Федеральный закон от 8 августа 2024 г. № 233-ФЗ // Собрание законодательства Российской Федерации, 12 августа 2024 г. № 33 (часть I) ст. 4929.
