«Палки будут отрабатываться не на пробивщиках, а на тех, до кого можно просто дотянуться»: законопроект об утечке персональных данных близок к принятию
16 январяВчера комитет Госдумы по госстроительству и законодательству рекомендовал принять в первом чтении поправки в уголовный и административный кодексы, предусматривающие наказание за утечку персональных данных. Законопроекты были разработаны группой депутатов во главе с руководителем комитета Госдумы по информполитике, связи и IT Александром Хинштейном. Из-за нечеткости формулировок инициируемые изменения вызвали замечания у правительства и Верховного суда. Резкой критике законопроект подвергла Ассоциации больших данных (АБД), где считают, что в текущей версии документа определения состава преступления носят неопределенный характер и позволяют посадить за решетку даже сотрудника компании, отвечающего за кибербезопасность. По мнению экспертов, предлагаемые поправки позволят привлечь к уголовной ответственности владельца любого сайта.
Что предлагают депутаты
Законопроекты о внесении изменений в Уголовный кодекс (УК) и Кодекс об административных правонарушениях (КоАП) были внесены в Госдуму 4 декабря. Обе законодательные инициативы были предложены одной группой депутатов и сенаторов во главе с руководителем комитета Госдумы по информполитике, связи и IT Александром Хинштейном.
Согласно предложенным поправкам в УК, незаконное использование или незаконные передача, сбор, хранение компьютерной информации, содержащей персональные данные (ПД), «полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование», может караться лишением свободы на срок до 5 лет. Если такие действия сопровождаются трансграничной передачей компьютерной информации, то срок может увеличиться до 8 лет. Максимальное наказание, до 10 лет лишения свободы, предлагается применять, если преступление повлекло тяжкие последствия, либо было совершено организованной группой.
Кроме того, отдельное наказание предлагается ввести за создание информационных ресурсов (например, сайтов или телеграм-каналов), заведомо предназначенных для незаконного хранения и распространения информации, содержащей ПД. За это преступление законодатели предлагают наказывать штрафом до 700 тыс. рублей или лишением свободы до 5 лет.
В КоАП предлагается ввести наказание за утечку ПД. В первый раз юрлицо, допустившее такую утечку, может быть оштрафовано на сумму от 3 до 15 млн рублей в зависимости от объема утекших ПД. Повторная утечка предполагает наказание в виде оборотного штрафа в размере 0,1 – 3% выручки за календарный год, но не более 500 млн рублей. Для должностных и физлиц, допустивших утечку предусмотрены отдельные наказания. Законодатели предлагают штрафовать их на 0,8-1 млн рублей (максимум 1,5-2 млн рублей) и 100-200 тыс. рублей (максимум 300-400 тыс. рублей), соответственно.
Также законопроект предполагает появление штрафов за несоблюдение требований по оповещению Роскомнадзора об инцидентах утечки ПД. За это физлиц предлагается штрафовать на сумму до 100 тыс. рублей, должностные лица – до 800 тыс. рублей, а организации – до 3 млн рублей.
Замечания правительства и Верховного суда
В отзыве правительства на законопроект содержится ряд замечаний. Есть претензии к формулировке «массив данных независимо от формы, содержания и характеристик». В документе сказано, что она не «не отвечает требованиям ясности и четкости и может повлечь неоднозначную правоприменительную практику», пишет «Коммерсант». Кроме того, в отзывах правительства и Верховного суда указывается на необходимость разграничить сферу применения новой нормы и статьи 137 УК «Нарушение неприкосновенности частной жизни», которая предусматривает ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну.
Критика Ассоциации больших данных
Свой взгляд на законодательную инициативу в своем письме, направленном в Госдуму 26 декабря 2023 года, изложила Ассоциация больших данных — некоммерческая организация, объединяющая крупных владельцев больших данных, в которую входят «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «МегаФон», «Ростелеком», Qiwi, Билайн, МТС, Фонд «Сколково», Аналитический центр при правительстве Российской Федерации, ВТБ, Avito, Центр стратегических разработок. Члены ассоциации поддержали идею введения наказания за сбор и хранение персональной информации. Однако, по мнению АБД, предлагаемый в УК «состав преступления должен быть однозначным, а ответственность должны нести взломщики и те, кто продает базу данных». В предложенном законопроекте состав формален и не зависит от наличия умысла, считают в АДБ. Поэтому ассоциация считает необходимым, чтобы в законопроекте наказание применялось только за заведомо незаконные сбор, хранение и использование персональных данных, что позволит избежать привлечения к ответственности лиц, случайно получивших доступ к ПД, говорится в письме АБД, пишет Forbes. Также в АБД считают, что из под действия предлагаемой статьи УК нужно вывести сотрудников подразделений информационной безопасности или экспертных учреждений, которые по роду своей деятельности изучают утечки ПД или ресурсы, где они размещены.
Мнение экспертов
С точкой зрения АБД согласны эксперты, опрошенные изданием.
По мнению главного юрисконсульта практики интеллектуальной собственности юридической компании «ЭБР» Кирилла Ляхманова, в случае принятия законопроекта в текущем виде, под уголовную статью может попасть любой оператор пользовательских данных, а формулировка «персональные данные, полученные незаконно» — трактоваться крайне широко. Юрист рассказал, что «все еще широко используется способ передачи файла с базой просто по-дружески, без оформления соответствующих документов» и добавил, что «такая ситуация вполне сможет создать возможность привлечения указанных выше лиц к уголовной ответственности».
Формальное толкование статьи создаст риски преследования для лиц, в силу своих должностных обязанностей занимающихся мониторингом защиты информсистем, считает руководитель практики защиты персональных данных юридической фирмы DRC Ольга Захарова. По ее мнению, сейчас практически каждый владелец сайта, который не получает согласия на обработку ПД, незаконно собирает и хранит личную информацию.
Законодательная инициатива не создает рычагов воздействия на тех, кто торгует ПД, уверен руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. Чаще всего сервисы и боты «по пробиву» базируются за границей, и привлекать к ответственности попросту некого, объясняет эксперт. При этом под ударом могут оказаться вполне легальные компании, работающие с такой информацией и собирающие ее для маркетинговых и исследовательских целей: «Перед силовиками поставят палки, и эти палки будут отрабатываться не на пробивщиках, которых сложно найти, а на тех, до кого можно просто дотянуться: сервисах, стартапах, ИБ-компаниях, работающих с утечками», — предполагает эксперт.
Источник: Adpass