CNIL подтверждает рекорд утечек данных в 2025 году и обещает усиление контроля

Французский орган по защите данных CNIL в своем ежегодном отчете зафиксировал рекордное количество утечек данных в 2025 году. Было зарегистрировано 6167 таких инцидентов, что на 9,5% больше, чем в предыдущем году. В связи с этим CNIL обещает усилить проверки нарушений в сфере кибербезопасности.

Хотя многочисленные недавние сообщения об утечках данных уже наводили на мысли о росте, CNIL официально подтверждает это в своем годовом отчете. В 2025 году регулятор получил уведомления о 6167 нарушениях, что на 9,5% больше по сравнению с 2024 годом, когда было зафиксировано 5629 инцидентов утечек персональных данных.

В марте прошлого года глава ANSSI (Национального агентства по безопасности информационных систем) уже отмечал "очень значительный уровень угроз", однако тогда он добавил, что "в 2025 году мы не наблюдаем взрывного роста или цунами".

Очередной рекордный год

"2024 год установил рекорд. К сожалению, он был превзойден в 2025 году почти на 10%", — заявило ведомство по защите данных, опубликовавшее свой отчет в понедельник, 18 мая. Оно выделило три основные тенденции в зафиксированных нарушениях.

"Как и в предыдущие годы, наиболее часто регистрируемым типом инцидентов остается хакерство", — отмечает CNIL. Среди таких случаев упоминаются кража данных из легитимных учетных записей, использование программ-вымогателей, фишинг и подбор учетных данных (использование украденных баз данных логинов/паролей для проверки их использования на других ресурсах). На долю хакерских атак пришлось 50% всех сообщений в 2025 году. Однако утечки могут происходить и без злого умысла: 13% инцидентов связаны с отправкой персональных данных неверному получателю, 7% — с кражей или потерей оборудования и данных, и еще 7% — с непреднамеренной публикацией информации.

Вторая тенденция, отмеченная CNIL в отчете, — это целенаправленный характер некоторых атак. Не называя конкретное решение, регулятор указывает, что "2025 год ознаменовался серией краж данных, нацеленных на клиентские компании одного из разработчиков CRM-решений". Также отмечается серия атак на французские спортивные федерации.

• Новые утечки данных затронули спортивные федерации, включая теннис и спелеологию.

Наконец, регулятор указывает на рост числа инцидентов, затрагивающих более миллиона человек: "в 2025 году их было около сорока (по сравнению с примерно тридцатью в 2024 году)". В отчете CNIL выделяется сектор государственного управления, на долю которого приходится 19% всех зарегистрированных нарушений. В качестве примера можно привести утечку данных 1,6 миллиона аккаунтов в декабре 2025 года, а также инцидент 2024 года, затронувший около 37 миллионов французов, который обошелся агентству в 5 миллионов евро штрафа.

В 2026 году CNIL направит 50% своих проверок и карательных мер на нарушения в сфере кибербезопасности

Президент CNIL, Мари-Лор Дени, заявила в интервью изданию Le Monde, что одним из последствий утечек данных из государственных учреждений является "подрыв доверия между государством и гражданами, поскольку государство несет особую ответственность за данные французов".

В ответ на рост числа сообщений об инцидентах, CNIL объявила об усилении проверок безопасности данных в текущем году. "CNIL направит 50% своих проверок и карательных мер на нарушения в сфере кибербезопасности", — говорится в ее коммюнике. Президент CNIL уточнила Le Monde, что в 2025 году этот показатель составлял "от четверти до трети".

В отчете также говорится, что после публикации рекомендации по многофакторной аутентификации в марте 2025 года [PDF] и активного призыва к организациям, управляющим крупными базами данных, внедрить ее, предоставив им время для адаптации, "проверки будут проводиться в течение всего 2026 года".

Механические бюджетные последствия

Однако усиление контроля за безопасностью данных неизбежно скажется на других задачах регулятора. CNIL в своем отчете подчеркивает, что она действует в условиях "ограниченного бюджета". Также отмечается, что "в 2026 году CNIL не получила новых штатных единиц, несмотря на возросшую нагрузку по основным задачам и необходимость освоения новых компетенций, связанных с несколькими европейскими регламентами, в частности в области искусственного интеллекта".

Следует отметить, что суммы штрафов не поступают напрямую CNIL, а перечисляются в общий государственный бюджет. Недавно правительство Франции рассматривало идею выделения этих средств в новый фонд, предназначенный для модернизации цифровой инфраструктуры, основываясь на принципе "загрязнитель платит".

Что касается других направлений деятельности, CNIL также фиксирует общий рост числа полученных жалоб. Если в 2024 году был установлен рекорд в 17 772 жалобы (рост более чем на 8% по сравнению с предыдущим годом), то в 2025 году этот показатель был превзойден, увеличившись "более чем на 10%", достигнув 20 150 жалоб.

В своем отчете CNIL также подчеркивает, что она вмешивалась в деятельность "многих организаций, напоминая им о применимых правилах в отношении использования систем удаленного наблюдения на экзаменах и видеонаблюдения".

Например, упоминаются "жалобы, касающиеся проекта, разработанного одним университетом [не названным в отчете], по видео- и аудиозаписи студентов во время дистанционных экзаменов". В итоге президент CNIL "направила университету предупреждение, предложив "пересмотреть проект" до его фактического внедрения, особенно в части обязательности проведения оценки воздействия, анализа рисков системы и предоставления точной информации заинтересованным лицам". Регулятор также напомнил "нескольким муниципалитетам, что системы видеонаблюдения должны быть реализованы в соответствии с Кодексом внутренней безопасности (CSI) и GDPR".

В своем отчете CNIL также напоминает, что "FICOBA (Файл банковских счетов) больше не находится в ведении CNIL в части косвенного осуществления прав", механизма, позволяющего "получать доступ к информации о вас, хранящейся в определенных публичных файлах". Файл банковских счетов, "в частности используемый администрацией при налоговых проверках, теперь доступен напрямую", поясняет регулятор, "процедуру теперь можно осуществить через сайт www.impots.gouv.fr. Это изменение позволяет перераспределить ресурсы для запросов, касающихся других файлов". Действительно, CNIL поясняет, что в 2025 году она закрыла 32 262 дела по косвенному осуществлению прав, "из которых 27 492 касались запросов на доступ к Национальному файлу банковских и приравненных к ним счетов (FICOBA), который находился в юрисдикции CNIL до 6 января 2025 года".

В отчете регулятор также напоминает о своем подведенном ранее в этом году итоге по штрафам на общую сумму 487 миллионов евро, наложенным в 2025 году, включая, в частности, штрафы в отношении Google и Shein, которые сами по себе составили 475 миллионов евро.