ПРОБЛЕМЫ В СФЕРЕ ПРАВОВОГО РЕГУЛИРОВАНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ЛИЧНОСТИ

PROBLEMS IN THE LEGAL REGULATION OF PERSONAL INFORMATION SECURITY

Cao Thi Minh Ngoc

student, Faculty of Law, Plekhanov Russian University of Economics,

Russia, Moscow

Leonid Balanyuk

academic supervisor, PhD in Law, Associate Professor, Department of Civil Law Disciplines, Plekhanov Russian University of Economics,

Russia, Moscow

АННОТАЦИЯ

В статье рассматриваются актуальные проблемы в сфере правового регулирования безопасности информации личности в условиях стремительного развития цифровых технологий. Автор анализирует существующие правовые механизмы защиты персональных данных в Российской Федерации, выявляет их недостатки и пробелы, а также исследует практические сложности реализации прав граждан на информационную безопасность. Особое внимание уделяется анализу статистических и эмпирических данных, отражающих уровень эффективности действующего законодательства в данной области. В заключение предлагаются возможные пути совершенствования нормативной базы с целью повышения уровня защиты информации личности.

ABSTRACT

This article addresses pressing issues in the legal regulation of personal information security amid the rapid advancement of digital technologies. The author analyzes the existing legal mechanisms for the protection of personal data in the Russian Federation, identifies their shortcomings and legal gaps, and examines the practical challenges of implementing individuals' rights to information security. Particular emphasis is placed on the analysis of statistical and empirical data reflecting the effectiveness of current legislation in this area. The article concludes by proposing potential avenues for improving the regulatory framework to enhance the protection of personal information.

Ключевые слова: персональные данные, информационная безопасность, правовое регулирование, защита информации, цифровое право, правовые пробелы, статистический анализ, Российская Федерация.

Keywords: personal data, information security, legal regulation, data protection, digital law, legal gaps, statistical analysis, Russian Federation.

В сфере правового регулирования обеспечения безопасности персональной информации в Российской Федерации действующая нормативная база сформирована на основе Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» [7,с.45], который с момента принятия неоднократно подвергался изменениям, включая поправки, вступившие в силу к 2025 году. Указанный закон обладает широкой сферой действия, охватывая как российских физических и юридических лиц, так и иностранных операторов, обрабатывающих персональные данные граждан Российской Федерации. Это создало основу для формирования комплексной правовой системы, направленной на защиту права на частную жизнь и обеспечение безопасности персональных данных. Тем не менее, несмотря на наличие формально выстроенного правового механизма, реализация прав субъектов персональных данных, включая право на информирование, доступ к данным, возражение против автоматизированной обработки, а также право на передачу данных, сталкивается с рядом ограничений. Основной причиной этого является отсутствие эффективных механизмов надзора, а также недостаточная детализация правовых норм, что не позволяет обеспечить полноценную защиту интересов пользователей.

Дополнительно, установленные законом требования в части информационной безопасности и технической защиты данных носят общий характер, не обеспечивая должного уровня унификации и технологической устойчивости. Закон предписывает операторам персональных данных принимать организационные и технические меры, направленные на защиту персональной информации от неправомерного доступа, изменения или уничтожения. Однако отсутствие конкретизированных обязательных стандартов информационной безопасности приводит к неоднородному подходу в их реализации и потенциальным уязвимостям в системе защиты данных. Контроль за соблюдением законодательства в области персональных данных осуществляет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), которая уполномочена проводить проверки, выносить постановления о наложении административных штрафов, приостанавливать обработку данных, а также ограничивать доступ к веб-ресурсам, нарушающим законодательство. Вместе с тем, эффективность принимаемых ею мер остаётся ограниченной: применяемые санкции не обладают достаточной строгостью и не обеспечивают должного превентивного воздействия, в результате чего случаи нарушений остаются широко распространёнными.

Рисунок 1. Степень влияния отдельных проблем в сфере правового регулирования обеспечения безопасности персональной информации в Российской Федерации

Можно констатировать, что наиболее выраженной проблемой в сфере правового регулирования защиты персональных данных является наличие обширной, но недостаточно детализированной нормативной базы, степень влияния которой оценивается на уровне 7 из 10. Это отражает тот факт, что, несмотря на то что Федеральный закон № 152-ФЗ заложил относительно прочную законодательную основу, в нём всё ещё отсутствуют конкретные положения, регулирующие стандарты безопасности, процедуры обработки данных и права субъектов персональных данных. В результате организации получают возможность гибко, а порой и формально подходить к исполнению закона, что создаёт существенные риски утечки и несанкционированного доступа к личной информации.

Следующей по значимости является проблема ограниченности прав субъектов персональных данных, степень влияния которой составляет 6 из 10. Такие права, как право на уведомление, доступ, исправление и удаление персональных данных, на практике зачастую трудно реализуемы из-за отсутствия эффективных механизмов правоприменения. Пользователи сталкиваются с трудностями при реализации своих прав, не получают своевременного и полного ответа от операторов персональных данных, что подрывает доверие к институту правовой защиты.

Отсутствие унифицированных мер информационной безопасности также представляет собой серьёзную слабость системы, с уровнем воздействия 5 из 10. Ввиду отсутствия в законодательстве обязательных технических стандартов, организации самостоятельно определяют меры защиты, что приводит к фрагментарности и образованию значительных уязвимостей. Это особенно опасно в условиях роста числа киберугроз и повышения интереса преступных группировок к персональным данным.

Наконец, низкая эффективность государственного надзора, с уровнем воздействия 4 из 10, указывает на ограниченность институционального контроля. Несмотря на наличие у Роскомнадзора достаточных полномочий, фактическое применение санкций, пресечение нарушений и превентивные меры по отношению к нарушителям не достигают желаемого уровня. Нарушения, как правило, заканчиваются незначительными административными штрафами, не обладающими достаточным сдерживающим эффектом.

В целом, существующие проблемы правового регулирования информационной безопасности личности в России связаны не только с пробелами в законодательстве, но и с недостаточной эффективностью его реализации, ограниченностью прав субъектов, отсутствием обязательных стандартов безопасности и слабостью системы надзора. Устранение указанных недостатков является необходимым условием для повышения уровня защиты персональных данных в условиях цифровой трансформации и углубления международной интеграции.

Одним из наиболее значительных пробелов в правовом регулировании обеспечения безопасности персональной информации в Российской Федерации являются законодательные поправки, направленные на усиление национальной безопасности и контроль над интернет-пространством. В частности, так называемые поправки Яровой (2016 года) обязывают телекоммуникационные компании и поставщиков интернет-услуг осуществлять хранение пользовательских данных на территории России, а также предоставлять доступ к таким данным уполномоченным государственным органам без необходимости получения судебного разрешения. Такая правовая конструкция приводит к серьёзному нарушению права на частную жизнь, поскольку персональная информация может быть доступна, отслеживаться или использоваться в целях, не согласованных с волей субъекта данных.

Таблица 1.

Количество запросов на предоставление персональных данных в Российской Федерации в 2020–2023 годах

Законодательство Российской Федерации в сфере защиты персональных данных по-прежнему не содержит детализированных норм, регулирующих обращение с чувствительными данными, в частности с биометрической информацией, такой как отпечатки пальцев, данные о распознавании лица, голоса и иные подобные категории. Между тем, в банковской, телекоммуникационной и технологической сферах всё шире применяется биометрическая аутентификация, при этом отсутствуют обязательные технические стандарты и процедуры обеспечения безопасности соответствующих данных. Это создаёт высокий риск утечки чувствительной информации, её неправомерного использования либо эксплуатации со стороны киберпреступников. Согласно отчётам компаний Group-IB [8, с. 65] и Positive Technologies[9, с. 58], в период 2022–2023 годов в России наблюдался значительный рост числа инцидентов, связанных с утечкой персональных данных — были выявлены и задокументированы тысячи таких случаев. При этом биометрические данные признаются одним из наиболее уязвимых видов информации, подверженных риску утечки, несмотря на отсутствие официальной статистики, отражающей масштабы угрозы, касающейся исключительно данной категории данных.

Таблица 2.

Количество случаев утечки различных категорий данных в Российской Федерации за 2022–2023 годы

Существенным недостатком правовой системы Российской Федерации в сфере защиты персональных данных является несоразмерно мягкий характер санкций за нарушения требований информационной безопасности. Административные штрафы, как правило, варьируются от 5 000 до 75 000 рублей (что эквивалентно приблизительно 60–900 долларам США), что значительно ниже по сравнению с юрисдикциями, где установлены более строгие меры ответственности, например, в Европейском союзе, где штрафы могут достигать 4% от мирового годового оборота нарушившей организации. Согласно статистическим данным Роскомнадзора, в 2023 году было зафиксировано в общей сложности 2 800 случаев нарушений законодательства о персональных данных, по которым были вынесены решения о наложении санкций. Однако только в 5% случаев применялись максимальные меры ответственности, тогда как подавляющее большинство дел завершалось наложением минимальных штрафов либо вынесением предупреждений.

Таблица 3.

Применение административных санкций за нарушения законодательства о персональных данных в Российской Федерации

Нормативное регулирование в сфере защиты персональных данных в Российской Федерации носит фрагментарный характер и закреплено в ряде разрозненных нормативных правовых актов, включая Федеральный закон «О персональных данных», Закон «Об информации, информационных технологиях и о защите информации», Закон «О безопасности критической информационной инфраструктуры», Закон «О связи» и другие. Отсутствие единого, комплексного и систематизированного кодифицированного акта затрудняет субъектам – организациям, предприятиям и органам государственной власти – определение обязанностей, полномочий и надлежащих процедур обработки персональных данных. Такая ситуация порождает правовые пробелы, создавая возможности для обхода закона и недобросовестного поведения. Согласно отчету организации Privacy International (2023) [10, с. 42], значительная часть российских технологических компаний сталкивается с трудностями в соблюдении требований законодательства о персональных данных ввиду его сложности, фрагментарности и частых изменений. В документе также подчеркивается, что субъекты малого и среднего предпринимательства испытывают особенно серьезные трудности при выполнении технических и юридических требований, предусмотренных российским законодательством в области информационной безопасности и защиты персональных данных.

Таблица 4.

Уровень затруднений при соблюдении законодательства о защите персональных данных среди различных категорий предприятий в Российской Федерации

Помимо технических и правовых уязвимостей, особую обеспокоенность вызывает риск чрезмерного государственного контроля и надзора за персональными данными. Нормативные требования о хранении данных на территории Российской Федерации, обязательства по передаче информации в органы государственной безопасности, а также отсутствие прозрачности в процедурах мониторинга создают существенные риски нарушения права на личную свободу в цифровом пространстве. Согласно докладу Human Rights Watch (2023) [11, с. 23], значительное число граждан Российской Федерации выражает обеспокоенность тем, что действующее законодательство фактически предоставляет государственным органам широкие полномочия по контролю и надзору за персональными данными, что может негативно сказываться на реализации права на личную свободу и неприкосновенность частной жизни.

Правовые и практические пробелы в системе регулирования защиты персональных данных в Российской Федерации проявляются не только в содержании нормативно-правовых актов, но и в практике надзора, пресечения нарушений и обеспечения защиты прав субъектов данных. Отсутствие эффективных санкций, недостаточная регламентация в отношении обработки чувствительных данных, а также риск чрезмерного государственного контроля в совокупности снижают уровень защищённости персональной информации. Для устранения указанных недостатков необходимо совершенствование правовой системы, внедрение обязательных стандартов информационной безопасности, а также обеспечение баланса между интересами национальной безопасности и соблюдением конституционных прав и свобод граждан. На основании анализа действующего законодательства и практики правового регулирования в сфере защиты персональных данных в Российской Федерации можно сделать вывод, что, несмотря на наличие относительно комплексной нормативной базы, сохраняется ряд существенных проблем и пробелов. Указанные проблемы обусловлены не только фрагментарностью и недостаточной детализацией норм, но и слабой эффективностью правоприменительной практики: контролирующие органы не обладают достаточными ресурсами и механизмами для надлежащего мониторинга и пресечения нарушений. Отсутствие обязательных технических стандартов, недостаточность санкционных механизмов, а также тенденции к расширению государственного контроля ведут к снижению доверия граждан к системе защиты персональных данных. Особенно актуальной данная проблема становится в условиях цифровой трансформации и активного развития таких технологий, как искусственный интеллект, большие данные и биометрическая идентификация, что увеличивает риски и усугубляет последствия существующих правовых и организационных недостатков.

Список литературы:

1. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.; с учетом поправок 2020 г.) // Российская газета. – 2020. – № 144.
2. Конвенция Совета Европы № 108 «О защите физических лиц в связи с автоматизированной обработкой персональных данных». – Страсбург: Совет Европы, 1981. – 20 с.
3. Конвенция Совета Европы о киберпреступности (Будапештская конвенция). – Страсбург: Совет Европы, 2001. – 60 с.
4. Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ. – Москва: Юридическая литература, 2001. – 150 с.
5. Гражданский кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (ред. от 01.05.2024) // Собрание законодательства РФ. – 05.12.1994. – № 32. – Ст. 3301.
6. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (в ред. от 01.03.2023) // Собрание законодательства РФ. – 2006. – № 31. – Ст. 3451.
7. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в ред. от 2025 г.). – Москва, 2025. – 45 -50 с.
8. Отчет компании Group-IB «Hi-Tech Crime Trends 2023/2024» (отчет). – Москва: Group-IB, 2023. – 65 с.
9. Отчет компании Positive Technologies «Анализ утечек персональных данных в РФ» (отчет). – Москва: Positive Technologies, 2023. – 58 с.
10. Отчет Privacy International «Data Protection and Surveillance in Russia» (отчет). – London: Privacy International, 2023. – 42 с.
11. Доклад Human Rights Watch «Россия: усиливающееся государственное наблюдение подрывает частную жизнь» // \[Официальный сайт HRW]. – 2023. – URL: https://www.hrw.org (дата обращения: 10.05.2025).