За последнюю неделю регуляторная и корпоративная повестка в сфере данных, ИИ, цифровых активов и кибербезопасности стала заметно более однородной. Государство формирует единые правила для криптовалют, обсуждает единый сервис отзыва согласий на обработку персональных данных, обязательную маркировку и ограничения для ИИ-контента, а также расширение идентификации в цифровой инфраструктуре. Параллельно рынок получает серию напоминаний о цене технологической небрежности. В центре внимания профильных СМИ на прошедшей неделе стали утечки в крупнейших ИИ-компаниях мира и критических уязвимостях инфраструктуры.
Если ещё недавно эти сюжеты можно было рассматривать по отдельности как спор о криптовалютах, дискуссию об ИИ или очередную историю про инцидент безопасности, то сейчас они складываются в более широкую конструкцию: и регулятор, и крупные участники рынка последовательно отказываются от модели, в которой цифровая среда может развиваться на базе разрозненных правил, формальных согласий и непрозрачных зон ответственности. На первый план выходит вопрос о том, кто именно совершает цифровое действие, на каком основании он это делает, где хранятся критические данные и кто отвечает за последствия сбоя.
Криптовалюта и правовая система
Правительство внесло в Госдуму проект закона «О цифровой валюте и цифровых правах», который должен сформировать единую правовую основу для обращения криптовалюты в России. Документ предполагает легальную покупку цифровых валют через лицензированных посредников из реестра Банка России, брокеров и доверительных управляющих, а также возможность продажи и обмена с помощью регулируемых посредников. При этом запрет на расчёты криптовалютой внутри страны сохраняется, но компании и ИП могут получить право использовать её во внешнеторговых контрактах уже вне рамок экспериментального правового режима (ЭПР) ЦБ, переведя такие операции в стандартное институциональное поле.
По существу речь идёт о переходе от фрагментарного режима к модели институционального допуска. Государство не легализует крипторынок в привычном для его сторонников понимании, а переводит его в логику финансовой инфраструктуры, где ключевое значение имеют посредник, режим хранения, система надзора и допустимый сценарий использования. Такой подход снимает часть неопределённости для участников рынка, одновременно сужая пространство для операций вне регулируемой среды.
На практике это означает, что интерес к цифровым валютам больше нельзя оформлять только как инвестиционный или технологический эксперимент. Если компания рассматривает криптоинструменты для внешней торговли или смежных сервисов, ей придётся заранее проектировать не только юридическую схему, но и процедуры комплаенса, проверки контрагентов, хранения активов и фиксации маршрута сделки. Без этого возможность легального допуска сама по себе работающей моделью не станет.
Отзыв формального согласия на обработку ПДн
В Госдуме предложили создать единый сервис отзыва согласия на обработку персональных данных через «Госуслуги» (ЕСИА). Инициатива предполагает, что пользователь сможет видеть список организаций, которым давал согласие, отозвать его в несколько кликов, а система автоматически уведомит операторов и зафиксирует сроки прекращения обработки. Одновременно подчёркивается, что процедура отзыва не должна быть сложнее самой выдачи согласия, а компании должны принимать такие запросы разными способами и раскрывать информацию о передаче данных третьим лицам.
Это важный признак смены регуляторной логики. Хотя право на отзыв согласия в любой момент уже закреплено в статье 9 закона 152-ФЗ, рынок долго существовал в конструкции, когда согласие чаще выполняло функцию документального прикрытия: его получение было формальностью, а отзыв требовал от пользователя отдельных действий, поиска нужной формы и взаимодействия с каждым оператором. Инициатива с единым сервисом это техническое упрощение, которое смещает фокус в пользу управляемости жизненным циклом данных, где значение имеет не только сам факт получения согласия, но и реальная возможность легко прекратить обработку.
В операционном плане прежний подход к сбору и хранению согласий быстро теряет устойчивость. Операторам персональных данных придётся выстраивать учёт каналов получения согласий, маршруты их отзыва, уведомление подрядчиков и подтверждаемую остановку обработки. В этой модели недостаточно сослаться на пользовательское соглашение или форму на сайте, нужно уметь показать, где именно находится статус согласия, кому были переданы данные и как компания исполняет требование об отзыве.
Идентификация и доменные зоны
С 1 сентября 2026 года владельцы доменов в зонах .ru, .рф и .su должны будут подтверждать личность через «Госуслуги». При этом требования к зоне .su, являющейся историческим наследием СССР, могут создать отдельные правовые коллизии для администраторов-нерезидентов. В целом это решение укладывается в международный контекст: в Германии усиливается верификация контактных данных, в Индии действует e-KYC для доменных регистраций, в Китае уже давно требуется документарное подтверждение личности, а в ряде юрисдикций сохраняются резидентские ограничения для иностранных администраторов.
По сути, речь идёт о том, что цифровая инфраструктура последовательно выводится из режима условной анонимности. Если доменное имя раньше воспринималось в первую очередь как технический ресурс или объект коммерческого оборота, то теперь оно окончательно закрепляется как точка юридически значимой идентификации. Причины этого понятны: рост фишинга, борьба с мошенничеством, требования к цифровому суверенитету и общий курс на верификацию владельцев цифровых активов.
С корпоративной точки зрения возникает необходимость аудита не только доменного портфеля, но и всей цепочки цифровых активов, привязанных к бренду, продажам и клиентским коммуникациям. В условиях, когда идентификация владельца становится обязательной нормой, возрастает цена ошибок в регистрационных данных, непрозрачных схем владения и использования технических посредников без ясного распределения прав и обязанностей.
ИИ и зона ответственности
Сенатор Владимир Кожин направил в правительство законопроект, предлагающий ввести штрафы и уголовную ответственность за создание и распространение дипфейков без согласия человека. Документ переводит синтетический контент в поле жёсткого правоприменения, где важны согласие лица, идентификация источника и соразмерная ответственность участников цепочки от разработчика до пользователя.
Параллельно Минцифры обсуждает с рынком отдельный, более широкий проект регулирования ИИ. Эта инициатива предусматривает маркировку контента, правила хранения данных, требования к доверенным моделям и ограничения на использование ИИ в запрещённых целях. Владельцы сайтов и организаторы распространения информации в этой конструкции должны будут блокировать запрещённые дипфейки по установленной процедуре. Допускается развитие технологии, но при условии верифицируемости и возможности регуляторного вмешательства.
В контексте разработки использование ИИ уже нельзя оставлять на уровне внутреннего эксперимента или чисто маркетингового инструмента. Любая компания, которая генерирует контент, внедряет ИИ-сервисы в клиентскую среду или работает с изображением и голосом пользователей, должна заранее выстраивать режим согласий, маркировки, логирования и реагирования на претензии. В противном случае технологическое преимущество может быстро превратиться в юридический риск.
Утечки в ИИ-компаниях
На Perplexity подан коллективный иск из-за предполагаемой передачи пользовательских данных, включая переписку с ИИ и финансовую информацию, третьим сторонам через трекеры. Отдельный спор привёл к временному ограничению доступа внешних платформ к сервисам компании. Почти одновременно Anthropic столкнулась с двумя крупными инцидентами за одну неделю: сначала произошла компрометация внутренних документов, затем в публичный доступ попал значительный объём кода Claude Code, включая служебные инструкции и логику ограничения инструментов.
Для рынка это неприятный, но логичный разворот. В последние годы ИИ-компании фактически пользовались презумпцией технологической добросовестности: считалось, что риск связан прежде всего с самой моделью, её ответами и степенью галлюцинаций. Теперь внимание смещается на инфраструктуру — трекеры, режимы логирования, настройку релизов, доступ к внутренним документам, политику работы с внешними платформами. Важным становится не только то, «что умеет модель», но и то, «насколько управляема среда вокруг неё».
Для заказчиков вывод очевиден: оценка ИИ-поставщика должна включать не только функциональность и качество модели, но и зрелость его процессов обработки данных, политику передачи информации третьим лицам, практику безопасной разработки и способность нести ответственность за инцидент. Репутация «ответственного игрока» перестаёт быть достаточной гарантией, если у компании нет доказательно устойчивого внутреннего контроля.
Экономика кибербезопасности
Группировка Interlock использовала критическую уязвимость десериализации Java (CVE-2026-20131) в Cisco Secure Firewall Management Center, позволявшую злоумышленникам выполнять произвольный код с правами root. Между началом эксплуатации и публичным раскрытием проблемы прошло около шести недель, а среди потенциальных целей назывались образование, промышленность, медицина и государственный сектор.
Параллельно «Ведомости» со ссылкой на исследование фонда «Сайберус» и Института экономики роста оценили вклад кибербезопасности в российскую экономику в 3,6–5,3 трлн руб. при объёме рынка 374 млрд руб. и мультипликаторе до 12 руб. эффекта на каждый рубль вложений. Хотя эти цифры строятся на ряде теоретических допущений о предотвращённом ущербе и требуют критического отношения к методологии подсчёта, они важны как индикатор новой управленческой оптики. Безопасность всё реже воспринимается как нагрузка на бюджет и всё чаще — как условие непрерывности процессов и сохранности выручки.
В стратегическом плане спор о том, «окупается ли безопасность», постепенно теряет смысл. Вопрос смещается в другую плоскость: насколько быстро организация закрывает критические уязвимости, как проверяет защищённость подрядчиков и как доказывает совету директоров, что сбой на инфраструктурном уровне на самом деле не частная проблема ИТ-службы, а прямой риск для выручки и репутации.
Что это значит для компаний
- Пересмотреть модель работы с согласиями на обработку персональных данных: не только форму получения, но и маршруты отзыва, фиксацию статуса и уведомление третьих лиц.
- Провести аудит цифровых активов и точек идентификации (доменов с учётом специфики различных зон, личных кабинетов, ИИ-сервисов) на предмет актуальности регистрационных данных и доказуемости полномочий.
- Для компаний, работающих с цифровыми активами, заранее проектировать криптопроцессы как систему комплаенса: с проверкой посредников, понятным хранением и маршрутом внешнеторговой операции.
- Включить ИИ-поставщиков в тот же периметр проверки, что и остальных критических контрагентов: анализировать логику доступа к данным, безопасность релизов и договорные обязательства по инцидентам.
- Ускорить процессы управления уязвимостями в критической инфраструктуре, поскольку длительная задержка в таких кейсах уже выглядит управленческой ошибкой.
- Рассматривать расходы на кибербезопасность как элемент операционной устойчивости, особенно в сегментах с высокой регуляторной нагрузкой и чувствительными данными.
