Научная статья посвящена анализу роли государства в формировании и реализации механизмов защиты персональных данных в Российской Федерации. Основное внимание уделено эволюции нормативно-правового регулирования, функциям надзорных органов и практическим вызовам, связанным с цифровизацией общества.

В работе рассмотрены ключевые аспекты законодательной базы, включая Федеральный закон № 152-ФЗ «О персональных данных» и его последние поправки, такие как обязательная локализация данных на территории РФ и усиление ответственности за утечки. Особое внимание уделено роли Роскомнадзора как уполномоченного органа, осуществляющего федеральный государственный контроль за соблюдением требований обработки данных, включая проведение проверок, блокировку незаконно полученных данных и взаимодействие с правоохранительными структурами.

Автор подчеркивает противоречия между необходимостью соблюдения международных стандартов, например General Data Protection Regulation (GDPR), и требованиями цифрового суверенитета, что проявляется в ограничениях трансграничной передачи данных и конфликтах с иностранными компаниями. Анализируются меры ответственности за нарушения: от административных штрафов по ст. 13.11 Кодекса об административных правонарушениях до уголовного преследования по ст. 137 Уголовного кодекса Российской Федерации.

Статья также затрагивает актуальные проблемы, такие как недостаточная эффективность защиты данных в государственном секторе и необходимость внедрения новых технологических решений для предотвращения кибератак. В заключение предложены пути совершенствования законодательства, включая разработку отдельного закона о биометрических данных и усиление роли общественного контроля.

Ключевые слова: персональные данные, государственный надзор, Роскомнадзор, 152-ФЗ, цифровой суверенитет, ответственность за нарушения.

Новизна исследования: комплексный анализ взаимодействия законодательных и надзорных механизмов в контексте технологических вызовов, а также предложения по гармонизации национального и международного права в сфере защиты приватности.

В условиях цифровой трансформации защита персональных данных (ПДн) превратилась в один из ключевых элементов обеспечения прав граждан и национальной безопасности. Государство, выступая основным регулятором, формирует правовые рамки и обеспечивает надзор за их соблюдением, сталкиваясь с вызовами, связанными с технологическим прогрессом, международными стандартами и растущими киберугрозами.

Исторически российское законодательство о персональных данных прошло путь от фрагментарных норм в Конституции Российской Федерации и Гражданском кодексе до создания комплексной системы регулирования. Принятие Федерального закона № 152-ФЗ «О персональных данных» в 2006 году стало отправной точкой, закрепившей базовые принципы обработки ПДн, права субъектов и обязанности операторов. Однако первоначальная редакция закона носила рамочный характер и не учитывала таких явлений, как Big Data, облачные технологии и биометрическая идентификация. Эволюция законодательства была тесно связана с цифровизацией общества, включающей расширение категорий ПДн (включение IP-адресов, геолокации, данных с IoT-устройств), ужесточение требований к операторам (локализация данных с 2015 года) и имплементацию отдельных положений GDPR, таких как принцип минимизации данных и право на забвение.

Административно-правовые механизмы защиты ПДн включают многоуровневую систему регулирования и надзора. Роскомнадзор, как уполномоченный орган, осуществляет контроль за соблюдением законодательства: проводит плановые и внеплановые проверки, выносит предписания, блокирует незаконные ресурсы.

Эта многоуровневая система в последние годы демонстрирует свою активность, что особенно ярко проявилось в 2023 году, когда Роскомнадзор значительно активизировал надзорную деятельность в сфере защиты персональных данных, проведя более 2,5 тыс. проверок операторов, включая коммерческие компании, государственные учреждения и IT-платформы. По итогам этих мероприятий нарушения были выявлены у 40 % проверенных организаций. Среди типичных нарушений — отсутствие корректного согласия субъектов на обработку данных, несоблюдение требований к шифрованию информации, а также недостаточный уровень защиты информационных систем. Примечательно, что нарушения фиксировались даже в государственном секторе: например, в ряде региональных учреждений здравоохранения и образования персональные данные пациентов и учащихся соответственно хранились в открытом доступе или передавались третьим лицам без правовых оснований. Такие случаи демонстрируют системные проблемы, связанные с низкой цифровой грамотностью сотрудников и устаревшей IT-инфраструктурой.

ФСБ и Минцифры как ключевые участники системы защиты данных сосредоточены на разработке нормативно-технических требований. ФСБ, в рамках своих полномочий, утверждает стандарты криптографической защиты (например, использование российских алгоритмов шифрования в соответствии с ГОСТ Р 34.12–2015) и сертифицирует средства защиты информации. Минцифры отвечает за формирование стратегий цифровой трансформации, включая внедрение технологий искусственного интеллекта для мониторинга киберугроз. В 2023 году министерство инициировало создание единой платформы для аудита защищенности данных в госсекторе, однако ее реализация столкнулась с недостатком финансирования и бюрократическими барьерами.

Несмотря на активность ведомств, эффективность принимаемых мер остается под вопросом. Ярким примером уязвимости государственной инфраструктуры стала масштабная утечка данных проекта «СберКовид» в 2021 году, когда в открытый доступ попали персональные данные 3,5 млн россиян, включая ФИО, паспортные данные и результаты ПЦР-тестов. Расследование показало, что утечка произошла из-за грубых нарушений безопасности: база хранилась на незащищенном облачном сервере с паролем «admin», а доступ к ней имели сотрудники сторонних подрядчиков. Этот инцидент не только подорвал доверие граждан к государственным цифровым сервисам, но и выявил отсутствие межведомственной координации: Роскомнадзор, ФСБ и Минздрав не смогли оперативно заблокировать распространение данных, что привело к их утечке.

Меры ответственности за подобные нарушения остаются недостаточными. Несмотря на штрафы по ст. 13.11 Кодекса об административных правонарушениях (до 18 млн рублей для юрлиц), их размер несоизмерим с масштабом ущерба, а уголовные дела по ст. 137 Уголовного кодекса Российской Федерации («Нарушение неприкосновенности частной жизни») возбуждаются в единичных случаях. Ситуацию усугубляет отсутствие специализированных IT-судов и недостаток экспертов в правоохранительных органах, способных расследовать сложные киберинциденты.

Таким образом, даже при наличии формально проработанной нормативной базы защита персональных данных в России сталкивается с проблемами исполнения. Для повышения эффективности необходимы не только ужесточение санкций и модернизация инфраструктуры, но и системные изменения: внедрение рискориентированного подхода в надзоре, подготовка кадров в области кибербезопасности и усиление прозрачности деятельности госорганов в цифровой сфере.

Ключевой проблемой остается противоречие между защитой приватности и интересами бизнеса. Технологические компании, такие как «Яндекс» или VK, используют данные для персонализации услуг, но не всегда обеспечивают прозрачность их обработки. Законодательные пробелы в регулировании анонимизированных данных и алгоритмических профилей создают риски деанонимизации, что подтверждается делами утечек из соцсетей. Государству необходимо усилить требования к технологическим решениям: внедрению сквозного шифрования, обязательному аудиту систем защиты, развитию отечественных IT-платформ.

Перспективным направлением является гармонизация российского законодательства с нормами Евразийского экономического союза (ЕАЭС), где страны-участницы разрабатывают общие стандарты защиты данных. Например, в 2022 году Россия и Казахстан подписали соглашение о взаимном признании мер безопасности, что может стать основой для создания единого цифрового пространства. Однако санкционное давление и изоляция от западных технологий осложняют этот процесс, требуя ускоренного развития национальной инфраструктуры.

Таким образом, роль государства в защите персональных данных остается многогранной: от формирования законодательства до надзора и международного взаимодействия. Несмотря на прогресс в создании правовой базы, системные проблемы — недостаточная эффективность штрафов, уязвимость госсектора, конфликт суверенитета и глобализации — требуют комплексных решений, в частности принятия отдельного закона о биометрических данных, усиления технических стандартов защиты и расширения полномочий общественных организаций в контроле за обработкой ПДн.

Литература:

1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». — URL: https://www.consultant.ru/document/cons_doc_LAW_61801/
2. General Data Protection Regulation (GDPR) 2016/679. — URL: https://ogdpr.eu/ru
3. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». — URL: https://base.garant.ru/70252506/
4. Отчет о выполнении Плана и показателей деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций в 2023 году. — URL: https://rkn.gov.ru/docs/doc_3894.pdf
5. Соглашение между Правительством Российской Федерации и Правительством Республики Казахстан о сотрудничестве в области защиты информации» от 13.01.1995. — URL: https://www.mid.ru/ru/foreign_policy/international_contracts/international_contracts/2_contract/47932/
6. Рузанова, В. Д. Право на защиту персональных данных: гражданско-правовой аспект / В. Д. Рузанова // Гражданское право. — 2019. — № 6. — С. 17–20.
7. Алиев, Н. А. Понятие персональных данных на современном этапе развития общества / Н. А. Алиев // Наука XXI века: актуальные направления развития. — 2022. — № 2–2. — С. 93–96.
8. Вопленко, Н. Н. Официальное толкование норм права / Н. Н. Вопленко. — М. : Юрид. лит., 1976. — 118 с.