16.04.2026 09:31
⚖️ Опубликована мотивировочная часть постановления апелляции, отказавшей в привлечении к ответственности сервиса DLBI за мониторинг утечек 👨⚖️ Дело №…
⚖️ Опубликована мотивировочная часть постановления апелляции, отказавшей в привлечении к ответственности сервиса DLBI за мониторинг утечек
👨⚖️ Дело № А40-201075/25. 9 ААС постановлением от 14.04.2026 оставил в силе решение АС г. Москвы от 10.12.2025: ООО «Ди Эл Би Ай» — владелец сервиса DLBI (Data Leakage & Breach Intelligence) — не привлечено к ответственности по ч.1 ст.13.11 КоАП РФ.
🏛️Роскомнадзор, использовавший собственную систему мониторинга (АС МПД), настаивал на том, что DLBI выступает посредником, предоставляющим пользователям доступ к нелегальным базам данных (в том числе из Даркнета) без правовых оснований.
🛡️DLBI указал на ошибочность объединения двух разных процессов: обработки данных посетителей сайта (где DLBI является легальным оператором) и работы поискового алгоритма: DLBI не хранит и не обрабатывает ПД в открытом виде (номера телефонов или e-mail). Вместо этого используются хеши, которые не позволяют восстановить исходную информацию. Сам функционал проверки предоставляется не напрямую через сайт, а через партнеров (например, систему «Защитник» от МТС).
🧩 Логика, которую восприняли оба суда:
▪️ функционал сервиса не размещён на сайте — сайт носит информационно-аналитический характер;
▪️ сервис оперирует хэшированным представлением номера, а не самим номером;
▪️ номер телефона вне связки с ФИО/ИНН — не ПД (позиция, ранее озвученная Минэкономразвития);
▪️ политика конфиденциальности сайта регулирует отношения с посетителями, а не работу сервиса;
▪️ компания может быть оператором в одном контуре (сайт) и не быть им в другом (сервис).
🔎 Что добавила апелляция:
▪️ усилила конституционно-правовую базу — ссылки на постановления КС РФ № 1-П/2013, 4-П/2014, 17-П/2020 о вине юрлица;
▪️ подчеркнула тест ч.2 ст.2.1 КоАП — «приняты ли все зависящие меры для соблюдения закона»;
▪️ сослалась на определение ВС РФ от 01.08.2017 № 78-КГ17-45 о расширительном понимании ПД;
▪️ подтвердила выводы первой инстанции без их пересмотра — что укрепляет позицию как устойчивую практику на уровне двух инстанций.
❓Чтобы сопоставлять хэш номера пользователя с хэшами из утечек, сервис должен располагать коллекцией хэшей этих утечек. Откуда она берётся? Два сценария — и каждый требует отдельного правового анализа:
▪️ сервис самостоятельно хэширует сырые базы ПД — тогда на этапе хэширования обработка ПД всё-таки происходит, пусть и кратковременно, и требует оснований по 152-ФЗ;
▪️ сервис получает готовые хэш-коллекции от третьих лиц — возникают вопросы об источнике, правовых основаниях получения и цепочке передачи данных между контрагентами.
👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК
👨⚖️ Дело № А40-201075/25. 9 ААС постановлением от 14.04.2026 оставил в силе решение АС г. Москвы от 10.12.2025: ООО «Ди Эл Би Ай» — владелец сервиса DLBI (Data Leakage & Breach Intelligence) — не привлечено к ответственности по ч.1 ст.13.11 КоАП РФ.
🏛️Роскомнадзор, использовавший собственную систему мониторинга (АС МПД), настаивал на том, что DLBI выступает посредником, предоставляющим пользователям доступ к нелегальным базам данных (в том числе из Даркнета) без правовых оснований.
🛡️DLBI указал на ошибочность объединения двух разных процессов: обработки данных посетителей сайта (где DLBI является легальным оператором) и работы поискового алгоритма: DLBI не хранит и не обрабатывает ПД в открытом виде (номера телефонов или e-mail). Вместо этого используются хеши, которые не позволяют восстановить исходную информацию. Сам функционал проверки предоставляется не напрямую через сайт, а через партнеров (например, систему «Защитник» от МТС).
🧩 Логика, которую восприняли оба суда:
▪️ функционал сервиса не размещён на сайте — сайт носит информационно-аналитический характер;
▪️ сервис оперирует хэшированным представлением номера, а не самим номером;
▪️ номер телефона вне связки с ФИО/ИНН — не ПД (позиция, ранее озвученная Минэкономразвития);
▪️ политика конфиденциальности сайта регулирует отношения с посетителями, а не работу сервиса;
▪️ компания может быть оператором в одном контуре (сайт) и не быть им в другом (сервис).
🔎 Что добавила апелляция:
▪️ усилила конституционно-правовую базу — ссылки на постановления КС РФ № 1-П/2013, 4-П/2014, 17-П/2020 о вине юрлица;
▪️ подчеркнула тест ч.2 ст.2.1 КоАП — «приняты ли все зависящие меры для соблюдения закона»;
▪️ сослалась на определение ВС РФ от 01.08.2017 № 78-КГ17-45 о расширительном понимании ПД;
▪️ подтвердила выводы первой инстанции без их пересмотра — что укрепляет позицию как устойчивую практику на уровне двух инстанций.
❓Чтобы сопоставлять хэш номера пользователя с хэшами из утечек, сервис должен располагать коллекцией хэшей этих утечек. Откуда она берётся? Два сценария — и каждый требует отдельного правового анализа:
▪️ сервис самостоятельно хэширует сырые базы ПД — тогда на этапе хэширования обработка ПД всё-таки происходит, пусть и кратковременно, и требует оснований по 152-ФЗ;
▪️ сервис получает готовые хэш-коллекции от третьих лиц — возникают вопросы об источнике, правовых основаниях получения и цепочке передачи данных между контрагентами.
👁 PA | 💬 Max | ❤️ ЯМ | 🗣️ ВК