Российские юристы предупреждают бизнес и сотрудников об усилении уголовной ответственности за незаконный сбор, хранение и обработку персональных данных. С января 2026 года расширена практика применения новой статьи Уголовного кодекса, изначально направленной против сервисов и ботов для так называемого «пробива». Теперь под уголовное преследование могут попасть не только владельцы таких сервисов, но и сотрудники компаний — даже при незначительных утечках или ошибках в работе.
По данным МВД, за первые десять месяцев 2025 года по этой статье зарегистрировано 923 преступления. Власти отчитывались об успешном пресечении деятельности администраторов ботов, включая закрытие сервиса «Глаз Бога» и арест владельца Userbox Игоря Морозкина в ноябре 2025 года.
Однако, как отмечают эксперты, всё чаще уголовные дела возбуждаются и по фактам локальных корпоративных нарушений. Под «пробивом» понимается автоматизированный поиск информации о человеке по номеру телефона, e-mail и другим фрагментам данных. Ключевой проблемой следствие считает сам факт неправомерного доступа и передачи персональных сведений.
Новая практика показывает, что ответственность всё чаще несут не только организаторы сервисов, но и обычные работники. Весной 2025 года в Кировской области сотрудника салона связи задержали за пересылку через мессенджер нескольких десятков записей с персональными данными. В другом регионе работника обвинили в передаче информации о певце Ярославе Дронове (Shaman) и других абонентах.
В ноябре 2025 года в Башкирии был задержан мужчина, активировавший тысячи SIM-карт с помощью специального оборудования. В Перми под домашний арест отправили начальницу районного отдела судебных приставов, которая скопировала данные из ведомственной базы на личный смартфон, зафиксировав процесс на видео.
Эксперты подчёркивают: действия, которые ранее считались дисциплинарными нарушениями — использование личного носителя, передача пароля коллеге, копирование данных — теперь могут квалифицироваться как уголовное преступление. По данным RTM Group, с 2018 по конец 2025 года суды рассмотрели 325 дел по статье 274.1, и в 75% случаев были вынесены обвинительные приговоры. Почти половина дел связана с использованием служебного положения.
Аналитики прогнозируют, что к 2029–2030 годам число приговоров по статьям 272.1 и 274.1 может увеличиться в десять раз, главным образом за счёт активного применения «антипробивной» нормы.
Аналогичные риски существуют и по статье 274.1. Отсутствие чётких критериев разграничения между административной и уголовной ответственностью, дублирование норм КоАП и игнорирование технологических особенностей КИИ создают высокий риск произвольного правоприменения. Юристы предупреждают, что без доработки законодательства это может негативно сказаться на бизнесе, инвестиционной привлекательности и операционной деятельности компаний, работающих с данными и критической инфраструктурой.
Расширение действия уголовной статьи
Речь идёт о статье 272.1 УК РФ, которая предусматривает наказание за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Хотя изначально норма разрабатывалась для борьбы с нелегальными ИТ-сервисами и Telegram-ботами, предоставляющими доступ к персональным данным, на практике её применение оказалось значительно шире.По данным МВД, за первые десять месяцев 2025 года по этой статье зарегистрировано 923 преступления. Власти отчитывались об успешном пресечении деятельности администраторов ботов, включая закрытие сервиса «Глаз Бога» и арест владельца Userbox Игоря Морозкина в ноябре 2025 года.
Однако, как отмечают эксперты, всё чаще уголовные дела возбуждаются и по фактам локальных корпоративных нарушений. Под «пробивом» понимается автоматизированный поиск информации о человеке по номеру телефона, e-mail и другим фрагментам данных. Ключевой проблемой следствие считает сам факт неправомерного доступа и передачи персональных сведений.
Судебная практика: под ударом рядовые сотрудники
Новая практика показывает, что ответственность всё чаще несут не только организаторы сервисов, но и обычные работники. Весной 2025 года в Кировской области сотрудника салона связи задержали за пересылку через мессенджер нескольких десятков записей с персональными данными. В другом регионе работника обвинили в передаче информации о певце Ярославе Дронове (Shaman) и других абонентах.
В ноябре 2025 года в Башкирии был задержан мужчина, активировавший тысячи SIM-карт с помощью специального оборудования. В Перми под домашний арест отправили начальницу районного отдела судебных приставов, которая скопировала данные из ведомственной базы на личный смартфон, зафиксировав процесс на видео.
Риски для инсайдеров и критической инфраструктуры
Дополнительные угрозы создаёт и статья 274.1 УК РФ, действующая с 2018 года и касающаяся неправомерного воздействия на объекты критической информационной инфраструктуры (КИИ). К ним относятся системы госорганов, банков, операторов связи, медицинских, энергетических и транспортных организаций.Эксперты подчёркивают: действия, которые ранее считались дисциплинарными нарушениями — использование личного носителя, передача пароля коллеге, копирование данных — теперь могут квалифицироваться как уголовное преступление. По данным RTM Group, с 2018 по конец 2025 года суды рассмотрели 325 дел по статье 274.1, и в 75% случаев были вынесены обвинительные приговоры. Почти половина дел связана с использованием служебного положения.
Аналитики прогнозируют, что к 2029–2030 годам число приговоров по статьям 272.1 и 274.1 может увеличиться в десять раз, главным образом за счёт активного применения «антипробивной» нормы.
Проблема размытых формулировок
Юристы указывают на системную проблему — обе статьи сформулированы как рамочные. Это позволяет правоохранительным органам широко трактовать состав преступления. Для квалификации по статье 272.1, по словам экспертов, не требуется доказательства реального ущерба: достаточно самого факта неправомерного доступа к информации, при этом понятие «персональные данные» может трактоваться расширительно.Аналогичные риски существуют и по статье 274.1. Отсутствие чётких критериев разграничения между административной и уголовной ответственностью, дублирование норм КоАП и игнорирование технологических особенностей КИИ создают высокий риск произвольного правоприменения. Юристы предупреждают, что без доработки законодательства это может негативно сказаться на бизнесе, инвестиционной привлекательности и операционной деятельности компаний, работающих с данными и критической инфраструктурой.