Нововведения в IT-законодательстве России

Нововведения в IT-законодательстве России

Нововведения затрагивают три ключевых направления: защиту персональных данных, регулирование искусственного интеллекта и меры по усилению кибербезопасности.

Новые требования направлены на создание суверенной цифровой инфраструктуры, защиту прав граждан и повышение уровня информационной безопасности государства.

Защита персональных данных: ключевые изменения в 152-ФЗ

30 мая 2025 года вступают в силу масштабные изменения закона о персональных данных (Федеральный закон №152-ФЗ), которые считаются крупнейшими за последнее десятилетие. Поправки затрагивают все организации, от малого бизнеса до крупных корпораций, которые так или иначе обрабатывают персональные данные.

Новые категории данных и требования к их обработке

Обновленный закон вводит более детальную классификацию персональных данных, разделяя их на три основные группы:

• Биометрические данные (голос, отпечатки пальцев, скан сетчатки и другие физические характеристики), которые теперь можно использовать только с письменного согласия человека.
• Специальные категории данных (информация о здоровье, вероисповедании, политических взглядах, судимостях), требующие явного согласия и, как правило, должны быть обезличены.
• Обычные персональные данные (имя, телефон, email, адрес), которые можно обрабатывать после получения согласия или на основании договора.

Важным нововведением является требование получать отдельное согласие на сбор и анализ поведенческих данных пользователей на сайте, таких как клики или время просмотра товаров.

Даже файлы cookie теперь требуют отдельного разрешения для сбора данных о действиях пользователей.

 

Ужесточение штрафных санкций

Система штрафов за нарушения в сфере персональных данных стала значительно строже:

• За отсутствие согласия на обработку данных - до 300 тыс. рублей для должностных лиц и до 700 тыс. для юридических лиц.
• За неправильное хранение данных - до 6 млн рублей для компании.
• За утечку персональных данных 1-10 тыс. человек - от 3 млн до 5 млн рублей.
• За утечку более объемных баз данных - до 15 млн рублей.
• За незаконное распространение специальных категорий данных - от 10 до 15 млн рублей.
• За неуведомление Роскомнадзора об утечке или начале обработки - штраф до 3 млн рублей.

При повторных нарушениях может применяться оборотный штраф, рассчитываемый от оборота компании.

 

Локализация хранения данных и новые требования

Все данные российских пользователей должны теперь храниться и обрабатываться исключительно на территории России.

Использование иностранных сервисов аналитики, хранения или обработки данных (таких как Google Analytics, Meta Pixel, Hotjar) запрещается.

Компании обязаны:

• Актуализировать всю документацию, связанную с обработкой персональных данных.
• Вести журнал обращений субъектов персональных данных (хранить его в течение 3 лет).
• Разработать регламент действий при утечке данных.
• Уведомлять Роскомнадзор в течение 24 часов о факте утечки.
• Если компания обрабатывает более 1 млн записей в год, необходимо пройти сертификацию в аккредитованном центре.

 

Регулирование искусственного интеллекта: новые подходы

В сфере регулирования искусственного интеллекта также происходят серьезные изменения, направленные на создание правовой базы для развития и внедрения технологий ИИ с учетом рисков и этических вопросов.

Проект закона "О регулировании систем искусственного интеллекта"

Рабочая группа из юристов, представителей консалтинговых компаний и участников рынка ИИ разработала законопроект "О регулировании систем искусственного интеллекта в России", который предполагает:

• Разделение систем ИИ на группы по уровню рисков: минимальный, ограниченный, высокий и неприемлемый.
• Запрет на разработку и эксплуатацию продуктов из категории с неприемлемым уровнем риска, которые создают "угрозу безопасности личности, общества и государства".
• Обязательную государственную регистрацию и сертификацию систем с высоким уровнем риска, используемых в здравоохранении, транспорте, финансовой системе, силовых структурах.
• Введение ответственности разработчиков за причинение вреда жизни, здоровью или имуществу в результате применения систем ИИ.
• Обязательное страхование ответственности операторов систем ИИ с высоким уровнем риска.
• Требования к "явной и недвусмысленной" маркировке систем ИИ для пользователей.

 

Экспериментальные правовые режимы и стандарты для нейросетей

С 1 сентября 2025 года вносятся изменения в Федеральный закон "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта".

Также разрабатываются отраслевые стандарты для нейросетей, которые будут касаться реализации технологии и защиты данных, с которыми работают системы ИИ. Государство планирует строго регулировать обеспечение безопасности и надежности систем на основе ИИ.

22 мая 2025 года в ИНИОН РАН запланирован научно-практический круглый стол на тему «Правовое регулирование безопасного применения искусственного интеллекта: перспективы и риски», где будут обсуждаться правовые подходы к нормативному регулированию внедрения ИИ в различных отраслях экономики и сферах государственного управления.

 

Усиление кибербезопасности: новая доктрина и технические требования

В 2025 году планируется завершение актуализации Доктрины информационной безопасности России, что станет важным шагом для защиты от новых вызовов в сфере информационной безопасности.

Единый правовой режим защиты информационных систем

Ключевым изменением станет введение единого правового режима для защиты всех информационных систем, включая государственные информационные системы, информационные системы персональных данных и объекты критической информационной инфраструктуры. Этот унифицированный подход призван повысить устойчивость систем к киберугрозам.

Обновление стандартов в финансовой сфере

Происходит обновление стандартов ГОСТ 57580.1 и 57580.2, регулирующих информационную безопасность в финансовой отрасли. Расширяется субъектный состав (включаются финтех-организации), пересматриваются понятия и процессы для соответствия современным требованиям, уточняются критерии контролирующих организаций.

Требования к подрядчикам объектов КИИ

Вводится новый порядок для подрядчиков, выполняющих работы по заказам субъектов критической информационной инфраструктуры. Они будут обязаны:

·        Устанавливать системы обнаружения вторжений и обеспечивать создание безопасных каналов для передачи данных.

·        Пользоваться личными, строго идентифицированными аккаунтами.

·        Обеспечить возможность «отката» всех действий в случае атак.

Развитие безопасного программного обеспечения

ФСТЭК готовит новые документы для обеспечения информационной безопасности в программном обеспечении:

·        Новые редакции требований к средствам антивирусной защиты и межсетевым экранам.

·        Требования к средствам обнаружения и реагирования уровня узла (EDR).

·        Создание облачной платформы, которая будет предоставлять средства разработки безопасного ПО как сервис.

·        Применение технологий искусственного интеллекта в инструментах жизненного цикла безопасного ПО.

 

Другие значимые изменения в IT-сфере

Борьба с телефонным мошенничеством

В рамках Федерального закона от 1 апреля 2025 г. №41-ФЗ вводятся меры по борьбе с телефонным мошенничеством:

·        Самозапрет на заключение договоров об оказании услуг связи без личного присутствия.

·        Запрет на передачу SIM-карт третьим лицам (кроме близких родственников).

·        Самозапрет на спам-обзвоны и рассылки.

·        Обязательная маркировка всех исходящих телефонных вызовов от организаций.

·        Создание специальной государственной информационной системы, в которой будет храниться информация о лицах, совершивших противоправные действия через сети связи.

 

Новые правила регистрации IT-компаний

Утвержденный Минцифрой реестр стартапов будет включён в законодательство. Включение в этот реестр станет обязательным требованием для получения государственной аккредитации ИТ-компаний.

С 1 сентября 2025 года доля иностранного участия в стартапах, претендующих на аккредитацию, не должна превышать 50%. Это является частью стратегии по развитию технологической независимости государства.

 

Заключение

Нововведения в IT-законодательстве России отражают стремление государства к укреплению цифрового суверенитета, повышению уровня защиты персональных данных граждан и созданию условий для безопасного развития и внедрения новых технологий.

Бизнесу и организациям важно своевременно адаптироваться к этим изменениям: обновить документацию, внедрить необходимые процедуры, проинструктировать сотрудников и обеспечить техническую защиту данных. Это поможет не только избежать значительных штрафов, но и сохранить доверие клиентов и пользователей в условиях цифровой экономики.

Российское IT-законодательство продолжает развиваться в направлении создания комплексной системы правовой защиты и регулирования цифровой среды, что соответствует мировым тенденциям в сфере информационной безопасности и технологического развития.

Источник: ТГ-канал Вестник IT