152-ФЗ и проверка номера в MAX: что разрешено в 2026 (полный разбор)

Каждый раз, когда мы делаем коммерческую проверку телефонных номеров, всплывает один и тот же вопрос: «А это вообще законно?». Эта статья — структурированный разбор Федерального закона №152-ФЗ «О персональных данных» применительно к проверке номеров и B2C-маркетингу в мессенджерах, с цитированием конкретных статей, разъяснений Роскомнадзора и реальных штрафов 2024–2025 годов.

Это не юридическая консультация и не заменяет работу с собственным юристом — но даёт каркас, чтобы не задавать ему очевидных вопросов, и помогает оценить риски до запуска проверки базы через Max Checker.

Содержание

• TL;DR
• Краткая история 152-ФЗ
• Что такое персональные данные
• Является ли телефонный номер ПДн
• Обработка / распространение / трансгран
• Кто кому оператор: вы и Max Checker
• Когда согласие нужно, когда нет
• Ст. 10.1 — общедоступные ПДн и MAX
• Сравнительная таблица: что ПДн, что нет
• Что точно нелегально
• Что можно легально
• Кейсы и реальные штрафы
• Чеклист легальной проверки номера
• Частые ошибки и штрафы РКН
• Что мы делаем для compliance
• Штрафы 2026
• Best practices для B2B
• Об авторе
• Источники

TL;DR {#tldr}

• Номер сам по себе — в спорной зоне по ст. 3 152-ФЗ, в связке с любым другим атрибутом — точно ПДн (позиция РКН с 2020 года)
• Заказчик проверки — оператор ПДн, Max Checker — обработчик по ст. 6 ч. 3
• Согласие на проверку обычно не требуется (антифрод по ст. 6 ч. 1 п. 7; договорные отношения по п. 5); на рассылку — требуется почти всегда по ст. 18 ФЗ «О рекламе»
• Штрафы 2026: 30–500 тыс. ₽ по ст. 13.11 КоАП + оборотные до 3% выручки за крупные утечки (ФЗ-420 от 30.11.2024)
• «Пробив» (покупка инсайда у сотрудников банков и операторов) — ст. 137 и 183 УК РФ, до 5 лет
• Публичные поля профиля MAX (имя, last seen) подпадают под ст. 10.1 как «ПДн, разрешённые субъектом для распространения»

Краткая история 152-ФЗ {#istoriya}

Закон №152-ФЗ «О персональных данных» принят 27.07.2006 и вступил в силу 26.01.2007. За 19 лет существования он пережил больше 40 редакций. Ключевые вехи, актуальные для проверки номеров:

• 2014, ФЗ-242 — требование о локализации: ПДн граждан РФ должны обрабатываться и храниться на серверах в РФ. Именно поэтому Max Checker хостит обработку на инфраструктуре внутри страны.
• 2020, ФЗ-519 — введена ст. 10.1 о «персональных данных, разрешённых субъектом для распространения». Это юридически легализовало OSINT и парсинг публичных профилей при соблюдении процедуры получения отдельного согласия на распространение.
• 2022, ФЗ-266 — расширены требования к уведомлениям РКН о начале обработки и об инцидентах (срок 24 часа на первичное уведомление, 72 часа на детальное).
• 2024, ФЗ-420 — введены оборотные штрафы до 3% годовой выручки за крупные утечки. Это переломный момент: до 2024 года максимум для юрлиц был 500 тыс. ₽, после — потолок снят.
• 2025–2026, проекты поправок — обсуждается ужесточение ответственности за нелегальный «пробив» и расширение полномочий РКН по блокировке инфраструктуры нарушителей.

Полный текст актуальной редакции — на consultant.ru, официальная публикация — на pravo.gov.ru.

Что такое персональные данные {#chto-takoe-pdn}

Федеральный закон №152-ФЗ, ст. 3 п. 1 определяет ПДн дословно:

«Персональные данные — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту персональных данных).»

Ключевые слова — «любая информация» и «определяемому». Это самое широкое определение в европейском правовом поле: фактически, если по информации можно выйти на конкретного человека (даже с дополнительными известными вам или общедоступными данными) — это ПДн.

Из этого вытекает «правило связки», которое РКН использует в разъяснениях: один изолированный атрибут редко является ПДн, но любая комбинация двух атрибутов почти всегда становится ПДн.

Является ли телефонный номер ПДн {#nomer-pdn}

Это самый частый спор. Сформированная за 2018–2024 позиция Роскомнадзора и судов:

• Просто номер без других атрибутов — формально в спорной зоне. Однако на практике суды первой инстанции в 70%+ случаев признают его ПДн: через оператора связи номер однозначно сопоставим с физлицом, что попадает под формулу «косвенно определяемому» из ст. 3.
• Номер + ФИО / номер + email / номер + фото — однозначно ПДн.
• Номер + last seen или имя из MAX — тоже ПДн, потому что добавление любого атрибута активирует «правило связки».

Безопасный режим для B2B: считать любую базу номеров ПДн и работать с ней по полным правилам. Это снимает 90% юридических рисков ценой небольшой бюрократии.

Подробнее про работу с публичными атрибутами MAX — Что такое last seen в MAX.

Обработка / распространение / трансгран {#obrabotka-raspr}

152-ФЗ различает три юридически разных действия с ПДн, и путать их — типичная ошибка, ведущая к штрафам:

Обработка (ст. 3 п. 3) — «любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без…, включая сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение».

Распространение (ст. 3 п. 5) — «действия, направленные на раскрытие персональных данных неопределённому кругу лиц». Например, публикация номера в открытом справочнике или в Telegram-канале.

Трансграничная передача (ст. 12) — передача оператору, агенту или обработчику на территории иностранного государства. С 2023 года для передачи в «недружественные» страны требуется уведомление РКН за 10 рабочих дней и оценка уровня защиты ПДн принимающей стороной.

Для типичного B2B-кейса проверки номеров через Max Checker важна только обработка: распространения нет (мы не публикуем результаты), трансграна нет (серверы в РФ).

Кто кому оператор: вы и Max Checker {#operator}

Когда вы передаёте нам базу для проверки:

• Вы — оператор ПДн (вы определяете цель и средства обработки, ст. 3 п. 2)
• Max Checker — обработчик (operator-processor, ст. 6 ч. 3) — выполняет обработку по вашему поручению

Юридически это оформляется через публичную оферту + ToS, где явно зафиксированы:

• цели обработки (только проверка регистрации в MAX)
• срок хранения (минимально необходимый для выдачи результата + обезличенные логи 30 дней для расследований инцидентов)
• территория хранения (РФ; см. требования о локализации по ФЗ-242)
• процедуры реагирования на инциденты (уведомление в РКН в течение 24 часов по ст. 21 ч. 3.1)

Тарифы и условия — на странице Pricing.

Ст. 10.1 — общедоступные ПДн и MAX {#st-10-1}

В декабре 2020 года ФЗ-519 ввёл в 152-ФЗ отдельную статью 10.1 — «Особенности обработки персональных данных, разрешённых субъектом персональных данных для распространения». Цитата ч. 1:

«Согласие на обработку персональных данных, разрешённых субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.»

Это юридическое признание того, что субъект может сам отметить, какие свои данные он разрешает распространять — например, через настройки приватности в мессенджере. Все данные, которые публичный профиль MAX показывает любому пользователю (имя, фамилия, статус, last seen, BIO), попадают именно в эту категорию.

Что это значит для B2B-проверки:

• Обработка таких данных без отдельного согласия — законна при наличии иного основания (ст. 6).
• Распространение (например, перепродажа результатов) — требует явного согласия на распространение по ст. 10.1.
• Молчание или бездействие субъекта согласием не считается (ст. 10.1 ч. 8).

Подробнее о технике публичных полей MAX — CheckAccount API endpoint.

Сравнительная таблица: что ПДн, что нет {#tablitsa-pdn}

Для контекста проверки номеров в MAX:

Это рабочая шпаргалка, не исчерпывающий правовой акт — спорные случаи всё равно идут к юристу.

Когда согласие нужно, когда нет {#soglasie}

Ст. 6 ч. 1 152-ФЗ перечисляет 11 оснований обработки. Согласие — только одно из них (п. 1). Другие основания (без согласия) актуальные для B2B-проверки:

• п. 2 — на основании ФЗ (например, по требованию органов)
• п. 5 — для исполнения договора, стороной которого является субъект ПДн (включая преддоговорный этап по инициативе субъекта)
• п. 7 — для законных интересов оператора или третьих лиц, если они не нарушают права и свободы субъекта (антифрод сюда попадает)
• п. 11 — обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом или по его просьбе (через ст. 10.1)

Применительно к проверке номера:

Подробный разбор антифрод-сценариев — Антифрод по номеру MAX.

Что точно нелегально {#nelegalno}

1. Пробив — покупка инсайдерских данных у сотрудников операторов связи, банков, госорганов. Ст. 137 УК РФ + ст. 183 УК для корпоративной/банковской тайны. Срок до 5 лет лишения свободы.
2. Парсинг закрытых разделов мессенджеров — обход настроек приватности, нарушение ToS + ст. 272 УК РФ (неправомерный доступ к компьютерной информации).
3. Перепродажа базы без согласия на распространение — типичная схема «мы купили у X», без соблюдения процедуры ст. 10.1. Штраф
   • риск гражданских исков от субъектов.
4. Использование украденных утечек для маркетинга — даже если данные «уже публично слиты», вы их обработали, нет ни согласия, ни иного основания по ст. 6.
5. Хранение базы граждан РФ на иностранных серверах — нарушение требования о локализации (ФЗ-242). РКН с 2022 года активно проверяет геолокацию инфраструктуры.

Что можно легально {#legalno}

1. Проверить публично доступную регистрацию в мессенджере — именно это делает Max Checker, возвращая только то, что сервер MAX отдаёт публично (ст. 10.1).
2. Работать со своей базой клиентов с зафиксированным согласием (ст. 6 ч. 1 п. 1).
3. Делать антифрод собственных пользователей по основанию «законные интересы» (ст. 6 ч. 1 п. 7) — см. use-case: антифрод для финтеха с разбором типичных сигналов и пороговых значений.
4. Использовать OSINT-техники с открытыми источниками, оставаясь в рамках ст. 10.1.
5. Вести переписку существующим клиентам в рамках договора (без отдельного согласия на эту переписку, если она по предмету договора, ст. 6 ч. 1 п. 5).
6. Передавать обработчику для технической операции (например, нам на проверку) при наличии договора-поручения (ст. 6 ч. 3).

Кейсы и реальные штрафы {#keysy}

Кейс 1. B2B-онбординг финтех-стартапа (2024, анонимизировано).

Компания принимала через сайт заявки на B2B-кредит от ИП и микро- бизнеса. Из 12 000 поступивших заявок за квартал 38% сопровождались данными, не совпадающими с реальным владельцем номера (стандартная антифрод-проблема). Команда добавила в воронку проверку номера через MAX и сверку last seen: если по номеру нет регистрации в MAX и WhatsApp одновременно, заявка уходит в ручную верификацию.

Результат за 3 месяца: доля отказов на ручной этап сократилась с 38% до 11%, выявлено 247 потенциально мошеннических заявок до выдачи. Основание обработки — ст. 6 ч. 1 п. 7 (законные интересы оператора), согласие не запрашивалось. Подробнее о том, как строится риск-модель антифрода для МФО на базе сигналов MAX + WhatsApp + last seen — в отдельном разборе.

Кейс 2. Чистка маркетинг-базы крупного ритейлера (2024).

База 480 000 номеров клиентов розничной сети, накопленная за 5 лет. Перед запуском SMS-кампании клиенту требовалось снизить долю неактивных номеров (риск штрафов от оператора связи за рассылку на несуществующие). Проверка через MAX-checker показала: 23% базы — не зарегистрированы в MAX, ещё 14% — last seen «давно» или пусто. После чистки CTR кампании вырос на 31%, стоимость доставки СМС снизилась на 18%. Согласие на маркетинговую рассылку у клиентов было получено заранее, проверка номеров — самостоятельная техническая операция в рамках того же согласия.

Кейс 3. Штраф РКН за утечку (СМИ-источник, 2024).

В открытых источниках публиковались материалы о штрафе одного из крупных российских сервисов на сумму, кратную потолку ст. 13.11 КоАП РФ, по итогам утечки 90+ млн записей. После вступления в силу ФЗ-420 (30.11.2024) аналогичные кейсы потенциально могут стоить оборотный штраф до 3% годовой выручки — для крупного игрока это сотни миллионов рублей.

Вывод: легальная проверка номера на этапе сбора и чистка базы — дешевле, чем разбор последствий некорректной обработки.

Чеклист легальной проверки номера {#cheklist}

Если вы запускаете B2B-проверку номеров впервые, пройдите по списку:

1. Определите цель обработки — антифрод, маркетинг, чистка базы, верификация контрагентов. От цели зависит правовое основание.
2. Выберите основание по ст. 6 — п. 5 (договор), п. 7 (законные интересы), п. 1 (согласие) — зафиксируйте письменно.
3. Проверьте, есть ли политика конфиденциальности на вашем сайте, в которой указаны цели и обработчики. Шаблоны — на rkn.gov.ru.
4. Заключите договор-поручение с обработчиком (для Max Checker это публичная оферта). Без него передача базы — нарушение ст. 6 ч. 3.
5. Назначьте ответственного за организацию обработки ПДн — приказом руководителя по ст. 22.1 152-ФЗ.
6. Зарегистрируйтесь в реестре операторов РКН — через rkn.gov.ru (для большинства B2B обязательно).
7. Минимизируйте объём передаваемых данных — передавайте только номера, без лишних полей (ст. 5 — принцип минимизации).
8. Зафиксируйте сроки хранения результатов проверки — обычно достаточно 30–90 дней.
9. Подготовьте процедуру реагирования на запросы субъектов — уточнение, удаление, отзыв согласия (ст. 14, 21).
10. Настройте логирование доступа к базе — это и техническая защита, и доказательная база при возможной проверке РКН.

Полная техническая страница — Как это работает.

Частые ошибки и штрафы РКН {#oshibki}

Из практики разборов 2023–2025 годов:

• Передача базы партнёру без переуступки полномочий. Типичная схема: компания А получила согласие на собственную обработку, передаёт партнёру Б для совместной маркетинговой кампании. Согласие на эту передачу не получено отдельно. Штраф — до 300 тыс. ₽ по ст. 13.11 ч. 2 КоАП.
• Отсутствие политики конфиденциальности на сайте, через который собираются ПДн. Штраф по ст. 13.11 ч. 3 КоАП — до 60 тыс. ₽ юрлицу. РКН ловит автоматически, ботом-краулером.
• Несвоевременное уведомление об инциденте. По ст. 21 ч. 3.1 первичное уведомление — 24 часа, детальное — 72 часа. Просрочка — отдельный штраф до 500 тыс. ₽.
• Хранение базы граждан РФ за рубежом (особенно типично для SaaS-стартапов, использующих Heroku/AWS US без локализационного слоя). Штраф до 6 млн ₽ при повторном нарушении (ст. 13.11 ч. 8).
• Использование украденных утечек как «общедоступных данных». Распространённая ошибка: «эта база и так в открытом доступе в Telegram». РКН в разъяснениях прямо указывает, что нелегально опубликованные данные не превращаются в «общедоступные» по ст. 10.1 — они остались добытыми с нарушением.
• Сегментация рассылки на основе last seen без согласия на маркетинг. Сама сегментация легальна, но финальная рассылка без согласия — нарушение ст. 18 ФЗ «О рекламе» + 152-ФЗ.

Что мы делаем в Max Checker для compliance {#compliance}

1. Минимизация — храним переданные номера только до выдачи результата + 30 дней обезличенные логи (ст. 5 152-ФЗ).
2. Публичные данные — возвращаем только то, что профиль в MAX делает публично доступным (ст. 10.1).
3. Не строим вторичные базы — не агрегируем результаты разных заказчиков в свою «мега-базу» (исключаем риск распространения).
4. Локализация — серверы в РФ (ФЗ-242).
5. Договорная база — публичная оферта + ToS с явными ролями оператора и обработчика (ст. 6 ч. 3).
6. Логи доступа — фиксируем, кто и когда обращался к каким данным, для расследований инцидентов и аудита.
7. Уведомление об инцидентах — встроенная процедура реагирования за 24 часа по ст. 21 ч. 3.1.

Технические детали — на странице Pricing и Как это работает.

Штрафы 2026 {#shtrafy}

По ст. 13.11 КоАП РФ в актуальной редакции с учётом ФЗ-420 от 30.11.2024:

Дополнительно по ст. 137 УК РФ за «незаконный сбор сведений о частной жизни» — до 5 лет лишения свободы для физлиц-исполнителей, по ст. 183 УК за коммерческую/банковскую тайну — до 7 лет.

Свежая статистика проникновения MAX и пользовательской аудитории — MAX Russia stats 2026.

Best practices для B2B {#best-practices}

Энтерпрайз-онбординг и проверка юрлиц-контрагентов — отдельный сценарий со своими нюансами; подробный разбор того, как устроена антифрод-проверка номера в B2B-сценариях, вынесен в самостоятельную статью.

1. Юрист должен знать про вашу обработку ПДн — даже если у вас стартап на 3 человека, без него вы не разберётесь с тонкостями ст. 6 и 10.1.
2. Письменное согласие при сборе — чек-бокс «согласен на обработку» с возможностью отозвать (ст. 9 ч. 1).
3. Политика конфиденциальности на сайте, доступная одним кликом с любой страницы (требование ст. 18.1).
4. Договор с обработчиками (включая нас) — чтобы цепочка ответственности по ст. 6 ч. 3 была прозрачна.
5. Реестр операций обработки ПДн — внутренний документ, фиксирующий все операции с ПДн по ст. 18.1 ч. 2.
6. Ответственный за организацию обработки — назначение приказом, обязательно для большинства юрлиц по ст. 22.1.
7. Регулярные аудиты — раз в 6–12 месяцев самостоятельно или привлечёнными аудиторами.
8. Тренинги для сотрудников — особенно для тех, кто работает с клиентскими базами в CRM.

Disclaimer

Эта статья — образовательный обзор, не юридическая консультация. Конкретный кейс может иметь нюансы, не покрытые здесь. Обязательно работайте с лицензированным юристом, особенно при:

• Запуске продукта с массовыми рассылками
• Получении базы от партнёра или из M&A-сделки
• Реагировании на запрос Роскомнадзора
• Выявлении инцидента (утечка / несанкционированный доступ)
• Трансграничной передаче ПДн

Об авторе {#ob-avtore}

Команда CheckMaxApp разрабатывает инструменты проверки номеров в мессенджере MAX с фокусом на B2B-сценарии: антифрод, чистка маркетинг-базы, верификация контрагентов. С 2024 года команда работает в рамках compliance-периметра 152-ФЗ: вся обработка локализована в РФ, выстроена договорная база оператор/обработчик, внедрены процедуры реагирования на инциденты по ст. 21 ч. 3.1.

Авторы материала имеют практический опыт интеграции антифрод-проверок в финтех, e-commerce и микрокредитные продукты, а также консультировали ряд крупных российских ритейлеров по чистке маркетинговых баз перед SMS- и push-кампаниями. Все приведённые в статье кейсы анонимизированы по соглашению с клиентами.

Связаться с командой по compliance-вопросам и заключению договора- поручения — через раздел Pricing.

Источники {#istochniki}

• 152-ФЗ «О персональных данных» на consultant.ru
• Официальная публикация на pravo.gov.ru
• Роскомнадзор — раздел о персональных данных
• КоАП РФ, ст. 13.11 — нарушения 152-ФЗ
• УК РФ, ст. 137 — нарушение неприкосновенности частной жизни
• УК РФ, ст. 183 — незаконное получение коммерческой/банковской тайны
• ФЗ-242 о локализации ПДн
• ФЗ-519 — введение ст. 10.1 о распространении ПДн
• ФЗ-420 от 30.11.2024 — оборотные штрафы

См. также

• Антифрод для МФО и онлайн-кредитования — риск-модели на базе проверки номера в MAX
• B2B-антифрод: проверка контрагентов — кейсы из энтерпрайз-онбординга
• Use-case: антифрод для финтеха — полный обзор сценариев