«Чем больше участников — тем больше точек компрометации»: эксперты о планах МВД продавать персданные россиян банкам

Министерство внутренних дел России планирует открыть продажу данных россиян — услуга будет оказываться коммерческим организациям. Как следует из постановления ведомства, на которое обратил внимание Telegram-канал «Осторожно, новости», один запрос будет обходиться в 50 рублей.

Данные будут предоставляться на платной основе банкам, микрофинансовым компаниям, страховым фирмам и негосударственным пенсионным фондам. Информация будет передаваться организациям через систему межведомственного электронного взаимодействия. По оценкам ведомства, новые правила принесут примерно 120 млрд рублей в год в федеральный бюджет. Постановление вступит в силу 1 сентября 2026 года и будет действовать 6 лет.

Конструкция в рамках закона, но не без нюансов

Адвокат и советник практики интеллектуальной собственности юридической компании IMPRAVO Татьяна Кархалева в комментарии SecPost назвала обсуждаемый проект постановления правительства «логичным продолжением» части 5.5 статьи 17 Федерального закона № 3 «О полиции». Эта часть была введена в ноябре 2025 года — она регулирует формирование и ведение банков данных о гражданах, а также порядок их предоставления государственным и муниципальным органам, определенным должностным лицам. Эта часть ввела возможность предоставления данных организациям, включая банки и иные кредитные организации, за плату. Новое постановление «лишь устанавливает размер платы и порядок её взимания», считает адвокат.

Старший партнер компании «Поправка бизнеса» Наталия Дорофеева подчеркнула, что указанная в постановлении схема формально может укладываться в рамки Федерального закона № 152 «О персональных данных». Закон допускает обработку и предоставление персональных данных без согласия субъекта в случаях, прямо предусмотренных законодательством, когда это необходимо для исполнения возложенных на оператора обязанностей. В качестве примера Дорофеева называет сферу идентификации клиентов банками или операторами связи.

Юрист подчеркивает: передаются не массивы данных, а ответы на конкретные запросы. При этом доступ получают только те субъекты, у которых уже есть законные основания для обработки таких сведений.

«Государственный орган остается оператором данных, а подключенные организации — это, с одной стороны, пользователи сервиса, а с другой — самостоятельные операторы при дальнейшем использовании полученной информации», — указывает Дорофеева.

С этой точки зрения конструкция видится юридически допустимой, считает Дорофеева. Однако есть и нюансы, которые указывают на спорность модели. Так, закон допускает предоставление данных, но прямо не регулирует вопрос их платного предоставления. Это вызывает вопросы о том, не происходит ли фактическая коммерциализация публичной функции и не возникает ли экономический стимул к увеличению числа запросов.

«Это вызывает вопросы о том, не происходит ли фактическая коммерциализация публичной функции и не возникает ли экономический стимул к увеличению числа запросов», — отмечает юрист.

Помимо этого страдает и прозрачность: закон требует информирования субъекта о получателях его данных и об основаниях обработки. Но на практике человек не контролирует и зачастую не знает, сколько раз, кем и зачем проверяются его сведения.

«Ну и наконец, организация, получающая данные, становится самостоятельным оператором персональных данных со всеми вытекающими обязанностями по их защите, ограничению целей и сроков хранения. На практике уровень соблюдения этих требований у разных участников существенно отличается», — считает Дорофеева.

«Чем больше участников подключено — тем больше точек потенциальной компрометации»

Как отмечает юрист Lidings Алина Смакова, постановлением устанавливается, что информация может быть передана с использованием единой системы межведомственного электронного взаимодействия (СМЭВ). Подразумевается, что подобный канал передачи информации должен быть надежно защищен, но и этот подход, как считает Смакова, не обойдется без рисков.

«Главный из них связан с возможностью нелегитимного использования такого доступа. Финансовый сектор стабильно входит в топ отраслей, интересных для злоумышленников, и находится под риском утечек», — отмечает Смакова.

Дорофеева из «Поправок бизнеса» указывает, что прямого доступа у злоумышленников не должно появиться, так как подключение к таким системам предполагается строго ограниченным. Ключевой риск заключается в расширении круга лиц, имеющих доступ к данным, и снижении контроля над дальнейшим использованием информации. Эксперт отмечает, что уже сейчас объем таких запросов измеряется миллиардами — и платная модель не ограничивает доступ, а, напротив, превращает его в сервис с понятной экономикой. «Чем больше участников подключено — тем больше точек потенциальной компрометации», — говорит Дорофеева.

При этом, даже если данные получены законно, дальнейшее обращение с ними — окажись они у подрядчиков или произойди утечка — выходит за пределы прямого контроля государства.

«Российская практика показывает наличие устойчивого нелегального рынка «пробива», регулярные крупные утечки и недостаточный контроль за внутренними процессами у части коммерческих операторов. Это означает, что проблема заключается не столько в самом доступе, сколько в контроле жизненного цикла данных после их выдачи», — отмечает эксперт.

Как отмечает Дорофеева, эта модель может быть встроена в действующее регулирование. Но она скорее про институциональное расширение доступа к персональным данным, чем про их «продажу». Это значит, что число субъектов, которые получают и обрабатывают данные, вырастет — и как следствие, риски утечек и злоупотреблений вырастут уже за пределами государственных систем.