Уголовный кодекс РФ с 11.12.2024 дополнен ст.272.1, которая предусматривает ответственность за нарушения в сфере персональных данных (ПД).
Цель внесения дополнений
Кто будет привлекаться к ответственности
Персональные данные, на защиту которых направлена новая норма
Какое наказание предусмотрено.
Кто будет привлекаться к ответственности
Персональные данные, на защиту которых направлена новая норма
Какое наказание предусмотрено.
Рассмотрим эти вопросы вместе с экспертом Юридической фирмы ТЧК Бальжиной Цыденовой.
По заявлениям председателя Государственной Думы РФ Вячеслава Володина участились случаи попадания к мошенникам персональных данных через взлом IT специалистами государственных и корпоративных баз данных. Важно отметить, что современные пользователи достаточно часто оставляют свои персональные данные на множестве сервисов. Так, в 2022 году произошли громкие случаи по утечке баз данных в таких крупных сервисах как «Яндекс.Еда» и «Delivery Club». В результате многие данные, в том числе более 6 млн номеров телефонов, имена и фамилии клиентов, полные адреса доставки, IP-адреса попали в открытый доступ. А злоумышленники дали понять, что в наличии у них осталось еще множество ПД, которые они готовы продать.
Стоит учитывать, что ПД используются для совершения спам-звонков, нежелательных рассылок, проверке потенциальных работников, анализе потенциальных контрагентов и конкурентов и многих других незаконных схемах. В таких условиях можно говорить об определённом расцвете теневого рынка продажи ПД, в связи с чем, логичным последствием является изменение уголовного законодательства с целью пресечения данной тенденции.
В части уголовного наказания в сфере защиты персональных данных при умышленном собирании и распространении таких сведений могла быть вменена ст. 137 УК РФ за нарушение неприкосновенности частной жизни, поскольку согласно Постановлению Пленума Верховного Суда №37, ПД включены в понятие тайны. Также, злоумышленник мог нести ответственность по ст. 272 УК РФ за неправомерный доступ к охраняемой законом компьютерной информации.
Однако, ранее, преступления в данной области лицами, вовлеченными в оборот незаконно полученных ПД, включая пользователей и покупателей ПД, не были выделены в отдельный состав, что усложняло их привлечение к уголовной ответственности.
Кто же будет привлекаться к уголовной ответственности согласно норме ст. 272.1 УК РФ? Во-первых, к ним будут относиться лица, непосредственно занимающиеся незаконным сбором ПД и недобросовестные сотрудники, которые в целях получения материальной выгоды намеренно допустили утечку данных. Более того, ответственность будет также установлена для тех лиц, которые пользуются ПД, в случае, если будет установлена их осведомленность о незаконном способе приобретения данных. При этом действие новой статьи УК не будет распространяться на случаи обработки ПД физическими лицами исключительно для личных и семейных нужд.
Стоит отметить то, что законодатель выделил в отдельную часть статьи следующий состав: создание и (или) обеспечение функционирования информационного ресурса (например, сайта в сети «Интернет», программы для электронных вычислительных машин), заведомо предназначенного для незаконного хранения, передачи ПД.
Необходимо также отметить те ПД, на защиту которых направлена новая норма УК РФ. Такие ПД представляют собой достаточно широкий и не исчерпывающий перечень, в том числе, данные о ФИО, дате и месте рождения, профессии, семейном положении, номера телефонов, сведения о судимости, о здоровье и т.д. К персональным данным также относят биометрические данные, такие как отпечатки пальцев, фото лица в документах и системах идентификации, радужки глаз и другие.
В контексте рассуждений относительно вводимой нормы, важно рассмотреть и наказание. Часть первая предусматривает лишение свободы до 4 лет, а уже при наличии квалифицирующих признаков срок лишения свободы может достигать 10 лет с соответствующим увеличением штрафа и срока запрета занимать определенные должности. К квалифицирующим признакам относят, например, совершение преступления в отношении биометрических персональных данных, трансграничную передачу компьютерной информации, совершение преступления организованной группой и др.
Таким образом, изменения уголовного законодательства сопряжены с задачей решения проблемы роста преступлений в сфере персональных данных. Новая статья позволит точнее проводить квалификацию преступлений в данной области и, вероятно, может положительно повлиять на регулирование защиты ПД.
Стоит учитывать, что ПД используются для совершения спам-звонков, нежелательных рассылок, проверке потенциальных работников, анализе потенциальных контрагентов и конкурентов и многих других незаконных схемах. В таких условиях можно говорить об определённом расцвете теневого рынка продажи ПД, в связи с чем, логичным последствием является изменение уголовного законодательства с целью пресечения данной тенденции.
В части уголовного наказания в сфере защиты персональных данных при умышленном собирании и распространении таких сведений могла быть вменена ст. 137 УК РФ за нарушение неприкосновенности частной жизни, поскольку согласно Постановлению Пленума Верховного Суда №37, ПД включены в понятие тайны. Также, злоумышленник мог нести ответственность по ст. 272 УК РФ за неправомерный доступ к охраняемой законом компьютерной информации.
Однако, ранее, преступления в данной области лицами, вовлеченными в оборот незаконно полученных ПД, включая пользователей и покупателей ПД, не были выделены в отдельный состав, что усложняло их привлечение к уголовной ответственности.
Кто же будет привлекаться к уголовной ответственности согласно норме ст. 272.1 УК РФ? Во-первых, к ним будут относиться лица, непосредственно занимающиеся незаконным сбором ПД и недобросовестные сотрудники, которые в целях получения материальной выгоды намеренно допустили утечку данных. Более того, ответственность будет также установлена для тех лиц, которые пользуются ПД, в случае, если будет установлена их осведомленность о незаконном способе приобретения данных. При этом действие новой статьи УК не будет распространяться на случаи обработки ПД физическими лицами исключительно для личных и семейных нужд.
Стоит отметить то, что законодатель выделил в отдельную часть статьи следующий состав: создание и (или) обеспечение функционирования информационного ресурса (например, сайта в сети «Интернет», программы для электронных вычислительных машин), заведомо предназначенного для незаконного хранения, передачи ПД.
Необходимо также отметить те ПД, на защиту которых направлена новая норма УК РФ. Такие ПД представляют собой достаточно широкий и не исчерпывающий перечень, в том числе, данные о ФИО, дате и месте рождения, профессии, семейном положении, номера телефонов, сведения о судимости, о здоровье и т.д. К персональным данным также относят биометрические данные, такие как отпечатки пальцев, фото лица в документах и системах идентификации, радужки глаз и другие.
В контексте рассуждений относительно вводимой нормы, важно рассмотреть и наказание. Часть первая предусматривает лишение свободы до 4 лет, а уже при наличии квалифицирующих признаков срок лишения свободы может достигать 10 лет с соответствующим увеличением штрафа и срока запрета занимать определенные должности. К квалифицирующим признакам относят, например, совершение преступления в отношении биометрических персональных данных, трансграничную передачу компьютерной информации, совершение преступления организованной группой и др.
Таким образом, изменения уголовного законодательства сопряжены с задачей решения проблемы роста преступлений в сфере персональных данных. Новая статья позволит точнее проводить квалификацию преступлений в данной области и, вероятно, может положительно повлиять на регулирование защиты ПД.
