В Госдуму внесены два проекта поправок в УК РФ и КоАП РФ, которыми предлагается изменить ответственность за незаконную за передачу и распространение персональных данных.
Поправки в УК
Законопроектом № 502113-8 предлагается дополнить УК ст. 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».
Согласно проектируемой статье незаконные использование и передача (распространение, предоставление, доступ), сбор и хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, за исключением деяний, совершенных в отношении компьютерной информации, содержащей персональные данные, предусмотренные ч. 2 этой статьи, предлагается наказывать штрафом до 300 тыс. руб. либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок. Если компьютерная информация содержит специальные категории персональных данных и биометрические персональные данные, то наказание будет в виде штрафа до 700 тыс. руб. или в размере зарплаты или иного дохода осужденного за период до одного года с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового либо принудительных работ на срок до пяти лет, либо лишения свободы на аналогичный срок.
Если деяния совершены из корыстной заинтересованности или повлекли причинение крупного ущерба, или совершены группой лиц по предварительному сговору или с использованием своего служебного положения, то максимальный штраф будет равен 1 млн руб. или зарплате, или иному доходу осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового. Альтернативное наказание – принудительные работы на срок до пяти лет либо лишение свободы на срок до шести лет. Оба наказания предусматривают штраф в размере до 1 млн руб. или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
В случае если вышеуказанные деяния сопряжены с трансграничной передачей компьютерной информации, содержащей персональные данные, или трансграничным перемещением носителей, содержащих такие данные, лишение свободы максимум составит восемь лет, а штраф – 2 млн руб. с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до четырех лет или без такового.
Тяжкие последствия или совершение деяния организованной группой будет наказываться лишением свободы на срок до 10 лет со штрафом в размере до 3 млн руб. или в размере зарплаты или иного дохода осужденного за период до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового.
Создание и обеспечение функционирования информационных ресурсов, заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, предлагается наказывать штрафом до 700 тыс. руб. или в размере зарплаты или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового. К вышеуказанному могут добавиться принудительные работы или лишение свободы.
В примечании к проектируемой ст. 272.1 УК указывается, что ее действие не распространяется на случаи обработки персональных данных физлицами для личных и семейных нужд. Под трансграничным перемещением носителей, содержащих указанную в статье компьютерную информацию, понимается совершение действий по ввозу на территорию РФ и вывозу машиночитаемого носителя информации, на котором записана информация, содержащая персональные данные. Под тяжкими последствиями понимаются временная приостановка или нарушение работы оператора персональных данных, нарушение целостности информационной системы персональных данных, распространение компьютерной информации, содержащей персональные данные, неограниченному кругу лиц, предоставление или доступ к ней третьим лицам с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне или безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям.
В официальном отзыве Правительство РФ указало на ряд недостатков законопроекта. В частности, термин «массив данных» не позволяет определить объем передаваемой информации и, как следствие, разграничить сферу применения проектируемой нормы и ст. 137 «Нарушение неприкосновенности частной жизни» УК РФ, предусматривающей ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну.
В свою очередь заместитель председателя Верховного Суда в отзыве отметил, что в диспозиции ч. 1 проектной ст. 272.1 УК РФ отсутствуют криминообразующие признаки, позволяющие отграничить соответствующее преступление от противоправных действий, предусмотренных ст. 13.11 КоАП РФ, что может привести к конкуренции данного уголовно-правового запрета со ст. 13.11 КоАП РФ и существенно усложнить применение проектной нормы на практике.
Юрист практики по сопровождению IP- и IT-сделок юридической фирмы Semenov & Pevzner Ирина Гущина обратила внимание на новый состав ч. 4 ст. 272.1 УК, который устанавливает более высокую ответственность, если доступ к персональным данным был сопряжен с трансграничной передачей компьютерной информации. «Закон не конкретизирует, в чем именно должна проявляться трансграничная передача информации. В то же время передача любых данных онлайн может осуществляться с трансграничным элементом, если используются иностранные сервисы почты или хранилища данных. Это повышает риск применения такой ответственности практически к любому нарушению. Но, возможно, при доработке законопроекта это будет учтено, и примечания к статье пополнятся объяснением, как правильно применять эту норму», – отметила она.
Как указал адвокат АБ «Коблев и партнеры» Даниил Зологин, данный законопроект уже породил массу дискуссий в профессиональном сообществе. «В большинстве своем это связано с тем, что законопроект имеет больше недостатков, чем преимуществ. Множество таких недостатков перечислены в официальных отзывах Правительства РФ и Верховного Суда, в связи с чем считаю целесообразным не приводить их вновь, а обратить внимание на иные существенные проблемы предлагаемых изменений. Самой очевидной проблемой является невысокий уровень юридической техники составления предлагаемой нормы, который проявляется во множестве альтернативных действий, входящих в объективную сторону преступления, что неизбежно приведет к безосновательному искусственному увеличению количества случаев применения данной нормы на практике; в использовании терминологии, которая может трактоваться правоприменителем максимально расширительно: “трансграничная передача компьютерной информации”, “обеспечение функционирования информационных ресурсов”. Более того, согласно пояснительной записке предлагаемая норма предназначена для “усиления ответственности за незаконный оборот персональных данных”. Однако авторами законопроекта при его подготовке, по всей видимости, не проведен анализ санкций, закрепленных в ст. 272 УК РФ, которая является общей по отношению к предлагаемой специальной – 272.1 УК», – указал эксперт.
Он добавил, что в соответствии с поправками, если лицо осуществит, например, неправомерный доступ к средствам обработки персональных данных и скопирует оттуда компьютерную информацию, содержащую персональные данные, а затем распространит полученные сведения, то по предлагаемой ч. 1 ст. 272.1 УК РФ наиболее тяжким наказанием для него будет являться лишение свободы на срок до четырех лет. Тем временем, отметил адвокат, такое деяние может быть квалифицировано по ч. 4 ст. 272 УК РФ, предусматривающей наказание в виде лишения свободы на срок до семи лет. Квалификация такого деяния по ч. 4 ст. 272 УК РФ, т.е. как «повлекшее тяжкие последствия», объясняется разъяснениями Пленума ВС, опубликованными в Постановлении от 15 декабря 2022 г. № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть “Интернет”». В п. 14 указано, что «под тяжкими последствиями следует понимать в том числе получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц». «Абсурдность такого разъяснения порождает множество вопросов, и, хотя это и не относится напрямую к обсуждаемой теме, как видно из вышеуказанного примера, существенно препятствует одобрению законопроекта в предложенной редакции», – посчитал Даниил Зологин.
Поправки в КоАП
Одновременно законопроектом № 502104-8 предлагается ввести административную ответственность за неисполнение обязанности по уведомлению Роскомнадзора в случае «утечки персональных данных» и за несокращение перечня исключений, когда оператор вправе осуществлять обработку персданных без уведомления уполномоченного органа по защите прав субъектов персональных данных.
Статью 13.11 «Нарушение законодательства Российской Федерации в области персональных данных» КоАП РФ предлагается дополнить новыми составами правонарушений, предусматривающими установление административной ответственности за утечки баз данных, содержащих персональные данные. Так, в зависимости от объема «утекшей» информации законопроектом предлагается установление следующей градации ответственности:
- информация, включающая персданные от 1 до 10 тыс. субъектов персональных данных, и от 10 до 100 тыс. уникальных обозначений сведений о физлицах, необходимых для определения таких лиц (далее – идентификаторы);
- информация, включающая персданные от 10 до 100 тыс. субъектов, и от 100 тыс. до 1 млн идентификаторов;
- информация, включающая персданные более 100 тыс субъектов, и более 1 млн идентификаторов.
За утечку специальных категорий персональных данных, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов. А за повторные правонарушения, выражающиеся в серьезной «утечке» персданных, предусматриваются санкции в виде оборотных штрафов.
Между тем в официальном отзыве правительство указало на множество недостатков законопроекта. В частности, отмечается, что проектируемые размеры административных штрафов нуждаются в уточнении на предмет соразмерности и возможности исполнения такого наказания лицами, привлеченными к ответственности.
Ирина Гущина заметила, что ранее к ответственности за обработку персданных без подачи уведомления в Роскомназдор можно было привлечь по ст. 19.7 КоАП РФ. Эта статья описывает случаи, когда необходимые по закону сведения и информация не предоставляются в уполномоченный государственный орган. Ответственность по этой статье невысокая: максимальный размер штрафа для юридических лиц составляет 5 тыс. руб. Законопроект выносит ответственность за неподачу или просрочку подачи уведомления в Роскомназдор в новую норму (ч. 10 ст. 13.11 КоАП): «Здесь штрафы уже гораздо серьезнее: до 300 тыс. руб. для юридических лиц».
Также эксперт указала, что отдельно оформляется ответственность за другие нарушения, ранее не выделявшиеся в специальные нормы. Самые высокие штрафы предусмотрены за нарушения, связанные с утечками – неправомерным раскрытием массивов персональных данных. В зависимости от того, данные о каком количестве человек были раскрыты, отличается и размер ответственности. Самый большой штраф предусмотрен за утечку данных о более 100 тыс. субъектов персональных данных. Размер штрафа для юридических лиц – от 10 до 15 млн руб. «Значительное повышение штрафов может по примеру Евросоюза пойти на пользу и замотивировать компании более серьезно относиться к защите своих баз данных и к соблюдению законодательства о персональных данных», – полагает Ирина Гущина.
