Биометрия и ответственность бизнеса: штрафы до 500 млн рублей и уголовная статья в 2026 году

Биометрические персональные данные в России - это сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (статья 11 ФЗ от 27.07.2006 № 152-ФЗ "О персональных данных"). По состоянию на апрель 2026 года регулирование биометрии образует три уровня: базовый ФЗ-152, специальный ФЗ от 29.12.2022 № 572-ФЗ о Единой биометрической системе (ЕБС) и обновлённый КоАП с оборотными штрафами до 500 млн рублей. Для бизнеса, применяющего идентификацию по лицу или голосу, это означает принципиально новый уровень комплаенс-рисков.

С 30 мая 2025 года вступил в силу ФЗ от 30.11.2024 № 420-ФЗ с оборотными штрафами за повторную утечку биометрии до 500 млн рублей. С 11 декабря 2024 года действует статья 272.1 УК РФ - до 10 лет лишения свободы за незаконный оборот биометрических данных. С 1 апреля 2026 года ФСБ получила право доступа к базам данных любых организаций. Риски для компаний достигли критического уровня.

Что такое ЕБС и на кого распространяется ФЗ-572

Единая биометрическая система - государственная информационная система, оператором которой является АО "Центр биометрических технологий" (ЦБТ), назначённое ПП РФ от 16.12.2022 № 2326. Под действие ФЗ-572 подпадают только два вида биометрии: изображение лица и запись голоса - это закреплено в статье 3 закона и подтверждено ПП РФ от 01.04.2024 № 408. Дактилоскопия, сетчатка глаза, геномная информация регулируются общими нормами статьи 11 ФЗ-152 без привязки к ЕБС.

Структура собственности ЦБТ: 49% принадлежит ПАО "Ростелеком", 26% - Российской Федерации через Росимущество, рекомендованная доля Банка России - 25%. В октябре 2023 года Распоряжением Правительства № 2988-р исключительные права на ГИС ЕБС переданы в уставный капитал ЦБТ. Коммерческие организации работают не с исходными образцами, а с математическими векторами ЕБС, которые не являются биометрическими персональными данными по смыслу статьи 11 ФЗ-152.

С 1 июня 2023 года хранение биометрических образцов лица и голоса в собственных системах запрещено статьёй 15 ФЗ-572. К 30 сентября 2023 года - дедлайну передачи данных - банки и телекомы направили в ЕБС 76 млн образцов. К январю 2026 года в системе зарегистрировалось около 9 млн человек с темпом до 20 тыс. регистраций в сутки. Более 180 банков в свыше 12 тыс. точках обеспечивают охват по всей стране.

Запреты и обязанности бизнеса при работе с биометрическими данными

Обработка биометрических данных допускается только при наличии письменного согласия субъекта - требование части 1 статьи 11 ФЗ-152. Содержание согласия строго регламентировано частью 4 статьи 9 ФЗ-152: ФИО и паспортные данные субъекта, наименование оператора, цель обработки, перечень данных и действий, срок согласия и порядок его отзыва. С 1 января 2025 года действуют унифицированные формы согласия, утверждённые Распоряжением Правительства № 856-р. Уведомление Роскомнадзора об обработке персональных данных обязательно до начала обработки по статье 22 ФЗ-152.

Технические требования жёсткие. Хранение исходных образцов лица и голоса в собственных системах запрещено. Буферизация перед передачей в ЕБС - не более 24 часов в зашифрованном виде. Кеширование векторов на стороне организации - до 30 дней. Данные хранятся исключительно на серверах в России. Обнаружение хранения биометрии вне ЕБС при одновременном отсутствии аккредитации и нарушении порядка оформления согласий образует три самостоятельных состава по статье 13.11.3 КоАП - совокупный штраф достигает 4,5 млн рублей, каждый исчисляется отдельно. При лишении аккредитации организация обязана уничтожить все векторы в течение 7 рабочих дней - пропуск этого срока образует дополнительный состав со штрафом до 1,5 млн рублей.

Принципиально важен запрет на отказ в обслуживании при нежелании клиента предоставлять биометрию. Часть 3 статьи 11 ФЗ-152 и статья 13 ФЗ-572 прямо это устанавливают. Нарушение с 30 мая 2025 года влечёт штраф по части 8 статьи 14.8 КоАП: 50-100 тыс. рублей для должностных лиц и 200-500 тыс. рублей для юридических лиц. Это частая ошибка банков и торговых сетей - маскировать обязательность биометрии под условия обслуживания.

Описанные требования применимы к типовым операционным моделям. Конкретная система идентификации требует индивидуального анализа. Классификационная ошибка - признание системы не подпадающей под ФЗ-572 без правового анализа - при проверке РКН превращается в основание для максимального штрафа.

Какие штрафы грозят бизнесу за нарушения в сфере биометрических данных?

ФЗ от 30.11.2024 № 420-ФЗ, вступивший в силу 30 мая 2025 года, кардинально изменил систему ответственности за нарушения в сфере биометрических данных. Статья 13.11 КоАП получила девять новых составов. За первичную утечку биометрии введён особый состав (часть 17): штраф для юридических лиц от 15 до 20 млн рублей. При повторной утечке применяются оборотные штрафы по части 18: от 1 до 3% годовой выручки, минимум 25 млн, максимум 500 млн рублей. Скидка 50% за досрочную оплату для всех составов статьи 13.11 исключена полностью.

Градуированная шкала штрафов за утечки учитывает масштаб инцидента. При числе пострадавших от 1 до 10 тыс. человек - от 3 до 5 млн рублей для юрлица. При более 100 тыс. пострадавших - от 10 до 15 млн рублей. Обработка персональных данных без письменного согласия по части 2 статьи 13.11 КоАП грозит юрлицу от 300 до 700 тыс. рублей (ранее 60-100 тыс. рублей - рост в пять раз). Неуведомление Роскомнадзора о намерении обрабатывать данные - до 300 тыс. рублей. Неуведомление об утечке по части 11 - до 3 млн рублей независимо от масштаба инцидента и уже назначенных санкций за саму утечку.

Статья 13.11.3 КоАП содержит специальные составы. Нарушение правил размещения биометрии в ЕБС - до 1 млн рублей. Непринятие мер безопасности при работе с биометрией - до 1,5 млн рублей. Обработка биометрии без аккредитации - до 2 млн рублей. По данным Роскомнадзора за 2024 год, зафиксировано 135 официальных утечек персональных данных с объёмом около 710 млн записей. С введением расширенных санкций каждая последующая утечка оценивается на принципиально иных финансовых основаниях. Трансграничная передача биометрических данных даже в рамках корпоративного обмена с иностранным аффилированным лицом влечёт уголовную ответственность по статье 272.1 УК РФ - до 8 лет лишения свободы - и не устраняется последующим уничтожением переданных данных.

Уголовная ответственность за незаконные операции с биометрическими данными

Статья 272.1 УК РФ (введена ФЗ от 30.11.2024 № 421-ФЗ, действует с 11 декабря 2024 года) установила уголовную ответственность за незаконный оборот персональных данных. Квалифицированный состав (часть 2) для биометрических данных и спецкатегорий предусматривает штраф до 700 тыс. рублей или лишение свободы до 5 лет. При трансграничной передаче - до 8 лет. При тяжких последствиях или совершении организованной группой - до 10 лет со штрафом до 3 млн рублей.

Статья охватывает незаконный оборот биометрии, полученной путём несанкционированного доступа к информационным системам. Легальные операторы, нарушившие правила обработки, подпадают под административные санкции - разграничение проходит по умыслу и способу получения данных. Сотрудник компании, намеренно скопировавший базу биометрии и передавший её третьей стороне, становится субъектом уголовного преследования вне зависимости от статуса самой организации как лицензированного оператора.

Прецедентным в формировании практики стало дело А41-98381/2023 (ООО "Компания Стройгрупп" против МИ ФНС № 3 по Московской области): налоговый орган требовал обязательного фотографирования при выдаче сертификата электронной подписи. Десятый арбитражный апелляционный суд признал это незаконным избыточным сбором биометрии. АС Московского округа постановлением от 05.02.2025 № Ф05-30737/2024 подтвердил это решение. Вывод однозначен: требовать биометрию сверх необходимого запрещено даже в рамках государственных процедур.

Роскомнадзор фиксирует типичные нарушения: сбор биометрии без надлежащего письменного согласия (банки маскировали согласие под ввод PIN-кода), хранение образцов в собственных системах без передачи в ЕБС, отсутствие актов уничтожения биометрии по истечении сроков хранения. С 2025 года мораторий на внеплановые проверки снят - Роскомнадзор использует автоматический мониторинг и индикаторы риска, утверждённые Приказом Минцифры от 16.09.2024 № 773. Отсутствие в реестре операторов ПД при наличии биометрической функции в продукте автоматически формирует основание для внеплановой проверки.

Если компания получила предписание Роскомнадзора или уведомление о проверке по биометрии, самостоятельная подготовка возражений без анализа доказательственной базы снижает перспективы оспаривания штрафа. Судебная практика 2024-2025 годов демонстрирует устойчивую поддержку позиции регулятора во всех федеральных округах.

Как ФСБ получила доступ к базам данных организаций с 1 апреля 2026 года?

С 1 апреля 2026 года вступил в силу закон от 16.12.2025, наделяющий ФСБ правом доступа к базам данных любых организаций. Ведомство вправе запрашивать сведения, в том числе о биометрических данных, обрабатываемых компанией, в рамках оперативно-разыскной деятельности. Организации обязаны обеспечить техническую возможность предоставления таких сведений. Требование распространяется на аккредитованные организации, операторов ЕБС и всех, кто обрабатывает биометрию в пределах допустимых исключений из ФЗ-572.

Верховный Суд РФ в постановлении от 12.07.2024 № 5-АД24-74-К2 подтвердил привлечение "Почты России" к ответственности за необеспечение сохранности данных при неавтоматизированной обработке. АС Волго-Вятского округа в деле А43-25737/2023 поддержал Роскомнадзор против ПАО "ТНС энерго" за передачу данных клиентов третьим лицам без согласия. Суды последовательно поддерживают позицию регулятора - оспаривание без выверенной правовой позиции неэффективно.

Что ждёт бизнес в 2026-2027 годах: расширение сферы применения биометрии

Законопроект № 802838-8 предусматривает использование биометрии для идентификации сторон сделок с недвижимостью при онлайн-регистрации прав. Планируемое вступление в силу - 1 июля 2026 года. Для риелторских компаний, застройщиков и нотариусов это означает необходимость получить аккредитацию ЕБС до вступления требования в силу. Минцифры готовит перевод ЕБС на подписочную модель - около 30 рублей на человека в год. К 2027 году планируется интеграция идентификации по ладони в ЕБС. С 1 сентября 2025 года действует обязанность передавать обезличенные данные в ГИС по запросам Минцифры (ФЗ от 08.08.2024 № 233-ФЗ) - при этом биометрические данные передаче в обезличенном виде не подлежат.

Face Pay работает на всех 250+ станциях московского метро, МЦК, МЦД и "Аэроэкспресса". За первый квартал 2025 года через биометрию прошло 37,5 млн платёжных транзакций на сумму около 30 млрд рублей - больше, чем за весь 2024 год. Сбер развернул около 1 млн POS-терминалов с биоэквайрингом, к 2026 году планирует 2 млн. Расширение сфер применения биометрии означает: вопрос аккредитации ЕБС становится обязательным элементом бизнес-планирования для любой компании, работающей с идентификацией клиентов.

Частые вопросы

1. Обязана ли компания передавать биометрические данные клиентов в ЕБС?

Да, если компания собирала биометрию лица или голоса для идентификации до 1 июня 2023 года, она была обязана передать данные в ЕБС до 30 сентября 2023 года по статье 15 ФЗ-572. С 1 июня 2023 года хранить новые образцы в собственных системах запрещено. Компания вправе работать только с математическими векторами ЕБС при наличии аккредитации Минцифры. Хранение исходных образцов сверх 24 часов образует состав по статье 13.11.3 КоАП со штрафом до 1,5 млн рублей.

2. Какой штраф грозит компании за утечку биометрических данных клиентов?

За первичную утечку биометрии юридическому лицу грозит штраф от 15 до 20 млн рублей по части 17 статьи 13.11 КоАП (ФЗ от 30.11.2024 № 420-ФЗ, в силе с 30.05.2025). При повторной утечке - оборотные штрафы по части 18: от 1 до 3% годовой выручки, минимум 25 млн, максимум 500 млн рублей. Дополнительно - до 3 млн рублей за неуведомление Роскомнадзора об инциденте. Скидка 50% за досрочную оплату для составов статьи 13.11 исключена.

3. Может ли компания отказать клиенту, который не хочет проходить биометрию?

Нет. Часть 3 статьи 11 ФЗ-152 и статья 13 ФЗ-572 прямо запрещают отказывать в обслуживании из-за нежелания клиента предоставлять биометрические данные. Нарушение с 30 мая 2025 года влечёт штраф по части 8 статьи 14.8 КоАП: для должностных лиц 50-100 тыс. рублей, для юридических лиц 200-500 тыс. рублей. Требование распространяется на банки, торговые сети, транспортные компании и иных операторов вне зависимости от масштаба бизнеса.

4. Как ФЗ-572 разграничивает виды биометрии - что в него входит?

ФЗ-572 регулирует только два вида биометрии: изображение лица и запись голоса - это закреплено в статье 3 закона и подтверждено ПП РФ от 01.04.2024 № 408. Дактилоскопические данные, сетчатка глаза, геномная информация под действие ФЗ-572 не подпадают и регулируются статьёй 11 ФЗ-152. Математические векторы ЕБС биометрическими персональными данными не являются - они могут обрабатываться аккредитованными организациями без ограничений, установленных для исходных образцов.

5. Какие организации вправе работать с биометрией вне ЕБС?

Исчерпывающий перечень установлен статьёй 4 ФЗ-572. Вне ЕБС вправе обрабатывать биометрию государственные органы: ФСБ, МВД, Минобороны, ФСИН, СВР, ФСО - в рамках оперативно-разыскной и контрразведывательной деятельности. Коммерческие организации работают только через интеграцию с ЕБС при наличии аккредитации Минцифры. Обработка биометрии без аккредитации влечёт штраф до 2 млн рублей по статье 13.11.3 КоАП и является самостоятельным основанием для внеплановой проверки.

Биометрическое законодательство России достигло зрелой стадии: государство монополизировало хранение образцов через ЕБС, ввело оборотные штрафы до 500 млн рублей за повторные утечки и установило уголовную ответственность до 10 лет по статье 272.1 УК РФ. С 1 апреля 2026 года ФСБ получила прямой доступ к базам данных организаций, а мораторий на внеплановые проверки РКН снят с 2025 года.

Юристы "Ветров и партнёры" сопровождают компании в построении комплаенса в сфере биометрических и персональных данных, оспаривают штрафы Роскомнадзора и представляют интересы в спорах с регуляторами. Практика охватывает аудит систем идентификации, подготовку форм согласия и взаимодействие с РКН при проверках.

05 апреля 2026 года