Криминализация незаконного оборота персональных данных

ВВЕДЕНИЕ

Одним из наиболее востребованных ресурсов современного общества является информация. Такое положение характеризуют как один из этапов развития цивилизации – информационное общество, где знание и информация имеют доминирующее положение по отношению к иным факторам производства.

Государственная политика Российской Федерации стремится к развитию и поддержанию информационного общества, а также его составляющих элементов. Основным стратегическим документом в этой области является Стратегия развития информационного общества в Российской Федерации на 2017–2030 гг. [1]. Главная цель этого документа – создание общества знаний, где информация, с учетом стратегических национальных приоритетов Российской Федерации, играет важную роль в развитии граждан, экономики и государства.

Согласно стратегии о национальной безопасности [2] информационная безопасность является одним из видов стратегических национальных приоритетов.

К числу задач Стратегии о национальной безопасности в области информационной безопасности (п. 57 Стратегии) относится оптимизация деятельности, связанной с предотвращением, выявлением и пресечением преступлений и правонарушений, совершаемых с использованием информационно-коммуникационных технологий. Также следует отметить задачу по обеспечению надежной защиты прав и свобод каждого человека и гражданина при обработке и использовании их персональных данных, особенно в контексте информационных технологий.

Вместе с тем проблема, связанная с защитой персональных данных, остается одной из актуальных и значимых мировых проблем, в том числе и России.

Так, количество пользователей информационно-телекоммуникационной сети Интернет за последние десять лет выросло более чем в два раза и на сегодняшний день составляет около 5,35 миллиарда человек по всему миру [3]. При этом численность интернет-пользователей в России составляет около 130 миллионов человек [4].

Однако количество скомпрометированных записей, содержащих персональные данные, в России за 2023 г. составило 300 миллионов. Основной поток утечек персональных данных происходит посредством интернета [5]. Так, одним из крупных случаев стала утечка данных пользователей сервиса «Яндекс.Еда». Согласно материалам дела сервиса «Яндекс.Еда» допустила утечку персональных данных, подпав под действие ч. 1 ст. 13.11 КоАП РФ. Максимальное наказание по данному составу – 100 тыс. рублей. При этом сервис «Яндекс.Еда» сообщил об утечке данных своих пользователей, указав в качестве причины произошедшего недобросовестные действия одного из сотрудников. Позже в открытом доступе в интернете появился сайт с базой данных клиентов сервиса, на котором можно было найти фамилию, имя, отчество, адрес, телефон и электронную почту пользователя, а также общую сумму заказов [6].

В 2023 г. суд оштрафовал на 60 тыс. руб. Минпросвещения РФ из-за того, что произошла крупная утечка персональных данных пользователей сайта «Российская электронная школа», содержащего 2,019 млн записей, которые включают в себя полное имя, номер телефона, адрес электронной почты, дату рождения, город, должность, место работы, место обучения, сведения о наличии детей. Аналогичные случаи произошли по вине издательства «ЭКСМО», курорта «Роза Хутор», Высшей школы экономики [7][8]. Виновные юридические лица были оштрафованы на 60 тыс. руб., что является несоразмерным между правонарушением и мерой наказания в отношении виновного лица, поскольку персональные данные стали доступными для телефонного мошенничества, а размер штрафа не может влиять на виновных лиц и побуждать их к правомерному поведению. В результате встает вопрос о необходимости применения не только мер административной ответственности в виде штрафов, но и мер уголовной ответственности для должностных лиц, осуществляющих незаконный оборот персональных данных и подвергающих угрозе причинения имущественного вреда значительный круг лиц, не способных предупреждать утечки персональных данных.

МАТЕРИАЛЫ И МЕТОДЫ

Применялись общенаучные методы, в том числе методы анализа, синтеза, классификации, без которых невозможно сделать основные выводы в настоящем исследовании. Среди частнонаучных методов играет важную роль сравнительно-правовой метод, который позволяет рассмотреть уголовно-правовую охрану персональных данных в зарубежных правовых системах. Применение методов правовой статистики позволит изучить правоприменительную практику в области охраны персональных данных.

РЕЗУЛЬТАТЫ И ИХ ОБСУЖДЕНИЕ

Вопрос, связанный с уголовно-правовой охраной персональных данных, является обсуждаемым в научном сообществе.

А. Ю. Волкова считает нецелесообразным внедрение нормы, предусматривающей уголовную ответственность за незаконный оборот персональных данных, поскольку уголовно-правовая охрана уже имеется [9]. С. И. Гутник в своем исследовании приходит к выводу о том, что необходимо исходить из режима конфиденциальности персональных данных в каждом рассматриваемом случае [10].

Другого мнения придерживаются А. М. Гвай, С. И. Захарцев, которые предполагают необходимость выделения персональных данных как объекта уголовно-правовой охраны [11]. Аналогичной позиции придерживается и В. А. Чукреев, при этом не упуская из внимания охрану биометрических персональных данных [12]. Н. В. Довголюк определяет относительно новый вид общественно опасного деяния – информационную торговлю [13]. Кроме того, А. М. Герасимов предлагает подвергнуть уголовно-правовой охране генетические персональные данные [14]. Е. И. Бахтеева и Н. А. Жиляева предлагают привлекать к уголовной ответственности диспетчеров и сотрудников дежурной части «скорой помощи» в случае распространения персональных сведений об умерших лицах [15]. И. Р. Бегишев и Д. В. Кирпичников предлагают сузить понятие персональных данных и оценивать в каждом деле общественную опасность совершенного деяния [16].

Также в научном сообществе предлагается внедрение различных положений, имеющихся в уголовной регламентации зарубежных государств. Например, Е. В. Хохлова предлагает установление уголовной ответственности за использование фото человека в СМИ, социальных сетях без согласия субъекта персональных данных [17]. В. В. Вабищевич предлагает установление уголовной ответственности в области персональных данных с учетом международно-правовых положений, заключающихся в единообразии национального и транснационального правового регулирования обработки и передачи персональной информации [18].

При этом, несмотря на наличие дискуссий по поводу охраны персональных данных, не сформировалось такого понятия, как «незаконный оборот персональных данных». Некоторые исследователи используют понятие «утечка персональных данных», «неправомерный доступ к персональным данным» и др. Вместе с тем президент РФ дал поручение рассмотреть вопрос об усилении охраны персональных данных, используя понятие «незаконный оборот персональных данных». Это же понятие использует и экспертное сообщество.

Действительно, понятие «незаконный оборот» более широкое и может включать различные действия, такие как сбор, распространение, передача, использование, сбыт и т. д.

Экспертное сообщество постоянно обращается и к вопросу малой эффективности мер административной защиты персональных данных, и, в частности, за их незаконный оборот.

На заседании Совета по развитию гражданского общества и правам человека председатель Постоянной комиссии по гражданскому участию в развитии правоохранительной системы К. В. Кабанов предложил установить уголовную ответственность за незаконный оборот персональных данных по аналогии с нормой, предусматривающей ответственность за незаконный оборот наркотических средств [19].

Соответственно, криминализация оборота незаконно полученных персональных данных может обеспечить более действенную их защиту и стать одном из средств в борьбе с этим противоправным деянием. Так, председатель Государственной Думы Вячеслав Володин, комментируя принятые в первом чтении законопроекты об усилении ответственности в области персональных данных, отметил следующее: «Проводил опрос на эту тему в своем ТГ-канале – абсолютное большинство высказалось за необходимость усиления наказания за утечку персональных данных» [20].

Однако, исходя из устоявшейся научно-правовой доктрины в России, в качестве основания криминализации деяния должно быть не усмотрение законодателя, а реальная общественная опасность таких деяний.

Общественная опасность представляет собой внутреннюю характеристику преступления, фиксируемую в законе и имеющую юридическое значение. Это объективное свойство существует независимо от воли законодателя или исполнительных органов, применяющих закон [21].

В уголовно-правовой науке общественная опасность подразумевает объективную способность актов определенного типа вызывать негативные изменения в социальной реальности, нарушать упорядоченность общественных отношений, искажать их и вносить элементы дезорганизации в существующий порядок. Следовательно, основой уголовной ответственности является общественная опасность такого поведения, которое характеризуется причинением либо созданием угрозы причинения общественно опасного вреда наиболее значимым общественным отношениям. Общественно опасный вред в данном ключе может выражаться в причинении вреда или угрозе причинения такого вреда субъектам персональных данных. Так, незаконное распространение персональных данных и получение доступа мошенников к информации о человеке может привести к причинению ему значительного материального ущерба. Например, злоумышленники могут проводить различные сделки под чужим именем, в том числе и с недвижимостью, создавать банковские счета, оформлять кредиты в банках и микрофинансовых организациях и т. д. Помимо прочего, у злоумышленников повышается вероятность успешной манипуляцией человеком, данные которого скомпрометированы. Нельзя не отметить и вред, наносимый операторам-компаниям вследствие утечки персональных данных. По оценкам экспертов F.A.С.С.T., в открытом доступе в 2023 г. оказалась личная информация на примерно 397 млн строк данных; за первое полугодие 2024 г. – 204,5 млн строк данных, куда входят паспортные данные, адреса, телефоны, пароли [22]. Суммарно за 2023 год и 4 месяца 2024 г. ущерб от IT-преступлений составил 210 млрд руб. [23].

Есть точка зрения, согласно которой общественная опасность определяется наличием характеристик преступлений, свойственных человеческой деятельности, а также способностью совершить подобные преступления в будущем [24].

А. В. Шеслер также отмечает, что понятие общественной опасности включает в себя обе характеристики преступления: его вредность и возможность повторения подобных преступлений в будущем, которая является уникальной для человеческой деятельности [25].

Оценивая данный критерий, стоит отметить, что незаконный оборот персональных данных носит массовый характер. Так, участились случаи массовых утечек таких данных с различных сервисов, онлайн-магазинов. Только в 2023 г. стало доступным 300 млн запи­сей, содержащих такие данные, как имена, адреса, телефоны, электронные почты, паспортные данные, информация о платежах, данные банковских карт и иная чувствительная инфор­мация [26].

Случаи утечек происходили у крупных представителей потребительского рынка DNS, Почты России, Яндекс.Еды, российских банков и у других известных компаний [27].

По сообщениям и отчетам МВД России в последние несколько лет в России наблюдается устойчивое увеличение числа киберпреступлений, которые характеризуются активным использованием злоумышленниками информационных технологий. Это направление преступной деятельности стало одним из самых распространенных за короткий промежуток времени – каждое четвертое преступление относится к этой категории. В среднем около 30 % таких преступлений удается раскрыть [28].

На основании изложенного понятно, что имеется реальная общественная опасность незаконного оборота персональных данных, которая проявляется как в аспекте вреда, так и в аспекте прецедентности.

В целях разграничения между уголовной и административной ответственностью необходимо определить состав преступления как материальный, то есть нарушения законодательства о персональных данных приведут к определенному размеру ущерба.

Для лучшего понимания и разрешения вопроса целесообразно обратиться к зарубежному опыту. Например, в Уголовном кодексе Республики Беларусь имеются составы преступлений, предусмотренных статьями 203¹, 203² в отношении персональных данных.

Так, согласно ч. 1 и 2 ст. 203¹ УК РБ преступлением являются умышленные незаконные сбор, предоставление, распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина (Уголовный кодекс Республики Беларусь от 9 июля 1999 г. № 275-З).

Важной особенностью состава преступления ст. 203¹ УК РБ является факт наступления существенного вреда, который, согласно законодательству Республики Беларусь, является оценочным. Вред может включать в себя как материальный (имущественный) ущерб, так и нематериальный. Здесь стоит отметить, что существенный вред в данных категориях дел подлежит оценке правоприменителем в каждом отдельном случае в связи со спецификой персональных данных и сведений о частной жизни лица. Кроме того, нельзя не отметить, что подход законодателя рассматривает нарушение именно как реальное изменение объективной действительности, которое повлекло тяжкий вред субъекту персональных данных [29].

Квалифицирующим признаком ч. 2 ст. 203¹ УК РБ является распространение, которое подразумевает под собой передачу любым способом сведений неопределенному кругу лиц. Главное отличие в УК РБ между предоставлением и распространением заключается в количестве конечных получателей охраняемых законом сведений. При предоставлении защищаемая информация передается одному лицу, а при распространении информация, соответственно, – неопределенному кругу лиц. Необходимо также отметить, что при расследовании либо рассмотрении уголовных дел по ст. 203¹ УК РБ должностному лицу следует установить субъективную сторону преступления: была ли цель в передаче данных определенному лицу или неопределенному кругу лиц.

В ст. 203² УК РБ предусмотрена ответственность за несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий.

Важно отметить, что в данном составе выделен специальный субъект состава преступления – оператор персональных данных. Также в нем необходимыми элементами являются одновременно и распространение персональных данных, и причинение тяжких последствий.

При этом, как явно установлено в диспозиции состава, вина характеризуется как неосторожность.

Становится очевидным, что в УК РБ наличествует материальный состав, при котором наступление существенного вреда является моментом окончания преступления. Законодательством Беларуси предусмотрены два состава преступления, разделяющиеся в зависимости от субъективных и объективных признаков.

ЗАКЛЮЧЕНИЕ

Таким образом, на сегодняшний день имеется основание для криминализации незаконного оборота персональных данных, поскольку наличествует реальная общественная опасность такого деяния, которое проявляется как в аспекте вреда, так и в аспекте прецедентности. Незаконный оборот персональных данных носит массовый характер. Участились случаи массовых утечек таких сведений, и они имеют регулярный характер. Организациям и гражданам наносится серьезный ущерб от такого рода противоправной деятельности. При этом незаконный оборот персональных данных с учетом его массового характера и причинения ущерба либо угрозы ущерба правам и законным интересам граждан должен быть криминализован в виде специальной уголовно-правовой нормы.

Учитывая актуальность охраны персональных данные в современных реалиях, полагаем, что необходимо изучить позитивный опыт уголовного законодательства Республики Беларусь с целью его последующего использования для совершенствования уголовно-правовой защиты персональных данных. Наличие материального состава позволит разграничить административную и уголовную ответственности.