Бизнес просит доработать законопроект об уголовной ответственности за утечки данных
Ассоциация больших данных (АБД) попросила депутатов уточнить формулировки законопроекта об уголовной ответственности за работу с персональными данными. Эта инициатива была внесена на рассмотрении Госдумы в декабре и предполагает возможность лишения свободы на срок до 10 лет за незаконные сбор или использование персональных данных.
В текущей версии документа формулировки состава преступления носят неопределенный характер и позволяют посадить за решетку даже сотрудника компании, отвечающего за безопасность, так как по долгу службы он работает с утечками персональных данных, указывают в АБД. По мнению экспертов, поправки в УК позволяют привлечь к уголовной ответственности владельца любого сайта или ИИ-разработчика
"Тяжкие последствия"
АБД (ее членами являются "Яндекс", VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, "МегаФон", "Ростелеком", Qiwi, билайн, МТС, Фонд "Сколково", Аналитический центр при правительстве Российской Федерации, ВТБ, Avito, Центр стратегических разработок) предложила депутатам уточнить текст поправок в Уголовный кодекс, ужесточающих наказание за утечки данных и устанавливающих для нарушителей даже уголовную ответственность за сбор или хранение незаконно полученных персональных данных. Об этом говорится в письме Ассоциации от 26 декабря 2023 года в комитет Госдумы по госстроительству и законодательству (есть в распоряжении Forbes).
Поправки в УК были внесены в Госдуму 4 декабря 2023 года сенаторами Андреем Турчаком, Сергеем Клишасом, главой комитета по информполитике Александром Хинштейном и другими депутатами. По ним использование, передачу, сбор или хранение незаконно полученных персональных данных предлагается карать штрафами от 300 000 рублей до 700 000 рублей или лишением свободы от четырех до пяти лет. Если в ходе следствия будет обнаружена "корыстная заинтересованность", причинение крупного ущерба, использование своего служебного положения или же действия будут совершены группой лиц, то размер штрафа может составить до 1 млн рублей, а максимальный срок — до шести лет. Жесткие меры предусмотрены для тех, кто рискнет передавать незаконно полученные персональные данные за границу (имеется в виду вывоз из страны электронного носителя с такой информацией). Это наказываются лишением свободы на срок до восьми лет со штрафом в размере до 2 млн рублей.
Если использование, передачу, сбор или хранение незаконно полученных персональных данных осуществит преступная группа или это повлечет тяжкие последствия, то максимальный срок заключения увеличивается до 10 лет, а штраф — до 3 млн рублей. Под "тяжкими последствиями" законодатели понимают нарушение работы организации, а также распространение персональных данных "с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне, безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям". При этом действие поправок не распространяется на случаи обработки персональных данных "исключительно для личных и семейных нужд".
Принятие документа, по мнению его авторов, позволит "эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных". Согласно приведенным в пояснительной записке оценкам, на декабрь 2021 года в "даркнете" циркулировало более 20 000 баз данных общим объемом более 10 ТБ, содержащих персональные данные о 80% населения России: "Черный рынок персональных данных постоянно растет, а основными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов".
Кроме того, Госдума сейчас рассматривает также поправки в КоАП, предусматривающие оборотные штрафы за утечки персональных данных.
Умысел есть? А если найду?
В АБД поддерживают саму идею введения ответственности за сбор и хранение персональной информации, однако подчеркнули, что состав, вводимый в УК, должен быть однозначным, а ответственность должны нести взломщики и те, кто продает базы данных. В текущей версии законопроекта состав формален и предусматривает наказание за сбор и хранение персональных данных и не зависит от наличия умысла, пояснили в АБД. Ассоциация предлагает ввести в формулировку законопроекта наказание за заведомо незаконные сбор, хранение и использование персональных данных. Это позволит исключить случаи привлечения к уголовной ответственности лиц, случайно получивших доступ к персональным данным, следует из письма АБД.
Кроме того, необходимо исключить введение ответственности для сотрудников подразделений информационной безопасности или экспертных учреждений, которые изучают утечки или ресурсы, на которых они размещаются. Они делают это строго в целях мониторинга защищенности и предотвращения компьютерных атак на собственные информационные ресурсы, обращают внимание в АБД.
"Минцифры рассматривало законопроект в рамках подготовки Минюстом официального отзыва правительства. Министерство поддержало законопроект", — заявили Forbes в Минцифры. В комитете Госдумы по информполитике отказались от комментариев. В комитете Госдумы по госстроительству и законодательству не ответили на запрос Forbes.
Владелец Telegram-бота для поиска личной информации о людях "Глаз Бога" Евгений Антипов подчеркнул, что сервис не хранит информацию, а является агрегатором, который собирает информацию из открытых источников. "Если законопроект затронет информацию в этих источниках, то они будут вынуждены ее ограничить. В таком случае данные исчезнут и в проекте "Глаз бога", — добавил он. Он призывает внимательнее отнестись к факту сбора информации журналистами и в целом обычными пользователями, использующими открытые источники: "Например, текст в статье "берем адрес из утечки сервиса "Яндекс Еда" как раз попадает под этот законопроект". О том, что принятие этого законопроекта ставит под вопрос работу журналистов-расследователей, сообщала и русская служба BBC News (признана Минюстом иноагентом).
"Может толковаться крайне широко"
Опрошенные Forbes эксперты считает обоснованными опасения АБД. Уголовная ответственность может коснуться любого агрегатора пользовательских данных, а формулировка "персональные данные, полученные незаконно" — трактоваться крайне широко, считает главный юрисконсульт практики интеллектуальной собственности юридической компании "ЭБР" Кирилл Ляхманов.
Кроме того, интернет-ресурсы, собирающие информацию о пользователях, широко используют партнерские программы, в рамках которых передают персональные данные клиентов своим партнерам, добавила она. "Все еще широко используется способ передачи файла с базой просто по-дружески без оформления соответствующих документов. Такая ситуация вполне сможет создать возможность привлечения указанных выше лиц к уголовной ответственности", — заключает юрист.
Буквальное толкование статьи создает риск уголовного преследования для тех граждан, кто в силу своих должностных обязанностей занимается мониторингом защищенности информационных систем, согласна руководитель практики защиты персональных данных юридической фирмы DRC Ольга Захарова. Риску преследования, по ее словам, подвержены и те, чей уровень осведомленности в области ИБ достаточно низок. Сейчас незаконно собирает и хранит личную информацию практически каждый владелец сайта, который не собирает согласия на обработку персональных данных, указывает Захарова.
"Законопроект предусматривает уголовную ответственность не только для тех лиц, кто незаконно получил доступ к данным и занимается их распространением, но и для всех, кто их использовал, не убедившись в наличии всех правовых оснований для их использования", — рассуждает преподаватель образовательной платформы Moscow Digital School Александра Орехович. В подобной формулировке уголовному преследованию могут подвергаться компании, занимающиеся разработкой систем искусственного интеллекта, считает она.
Введение подобных норм уголовной ответственности за использование данных повлечет за собой "огромные издержки — финансовые, организационные и временные" — для таких разработчиков, вынужденных использовать дополнительные ресурсы на то, чтобы убедиться в наличии всех необходимых согласий на передачу всего объема получаемых данных, считает Орехович. Как следствие, такая мера не будет способствовать стимулированию развития технологий, в том числе ИИ, а это в настоящее время — одна из первостепенных задач цифровой экономики, резюмирует она.
Регулировать цепочку работы с утечками данных необходимо, однако инициатива не создает рычагов воздействия на тех, кто торгует персональными данными — многочисленными сервисами и ботами по "пробиву", считает руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. Чаще всего такие сервисы базируются не в России, и привлекать к уголовной ответственности попросту некого, говорит он. При этом, по его словам, поправки могут ударить по вполне легальным компаниям, работающим с такой информацией и собирающим ее для маркетинговых и исследовательских целей. "Перед силовиками поставят "палки", и эти "палки" будут отрабатываться не на "пробивщиках", которых сложно найти, а на тех, до кого можно просто дотянуться — сервисах, стартапах, ИБ-компаниях, работающих с утечками", — полагает Бедеров.