Уголовная ответственность и многомиллионные штрафы за утечку персональных данных
24.01.2024
1) законопроект № 502113-8 «О внесении изменений в Уголовный кодекс Российской Федерации», предусматривающий ответственность за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные;
2) законопроект № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», усиливающий ответственность за нарушение порядка обработки персональных данных.
Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). В частности, к ней относятся: фамилия, имя и отчество, адреса мест жительства и мест пребывания, номера мобильных и городских телефонов, электронная почта, реквизиты различных документов, в том числе удостоверяющих личность. И это далеко не исчерпывающий перечень.
Отметим, что персональные данные подлежат обязательной защите от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. При этом перечень мер по защите персональных данных законом не ограничен.
Вместе с тем черный рынок персональных данных с каждым годом становится значительно шире, и если ранее утечки исчислялись сотнями или тысячами записей, то в последние годы речь идет уже о миллионах записей. Главными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные третьих лиц, что в свою очередь может приносить массу негативных последствий для последних и, соответственно, влечет общественно опасные последствия.
Законопроект № 502113-8 дополняет Уголовный кодекс Российской Федерации (далее – УК РФ) новой статьей 2721, предусматривающей уголовную ответственность за использование и (или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, а также за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения персональных данных.
Из пояснительной записки к законопроекту № 502113-8:
– для целей уголовного законодательства конкретизирован объект преступного посягательства — это компьютерная информация, содержащая персональные данные, полученная путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем;
– все составы преступлений, предусматриваемые новой статьей УК РФ, предлагается отнести к категории не ниже средней тяжести;
– отдельное наказание в рамках предлагаемых норм УК РФ предусмотрено для лиц, которые незаконно собирают, хранят, используют и (или) передают персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, биометрические персональные данные, а также для лиц, которые создают и администрируют сайты в сети Интернет или другие интернет-ресурсы и программы, которые позволяют незаконно хранить и (или) незаконно предоставлять доступ к компьютерной информации, содержащей персональные данные;
– к усиленной уголовной ответственности будут привлекаться преступники, которые совершают незаконные действия с компьютерной информацией, содержащей персональные данные: группой лиц по предварительному сговору; в случае если преступление повлекло причинение крупного ущерба; в целях обогащения; с использованием служебного положения; с использованием специальных технических средств, предназначенных для негласного получения информации (т. н. «шпионских устройств»);
– уголовная ответственность будет распространяться на лиц, которые незаконно передают базы данных с персональными данными иностранным гражданам, иностранным организациям или иностранным государственным структурам, а также для преступников, которые вывозят такую компьютерную информацию из РФ на любых электронных носителях, в том числе на флеш-накопителях и жестких дисках;
– самые значительные меры уголовной ответственности будут применены к организованным группировкам, которые совершали незаконные действия с базами данных, содержащими персональные данные, полученные незаконным путем, а также к тем, чьи действия в данной сфере повлекли тяжкие последствия.
Отдельное внимание стоит уделить тому факту, что законопроект № 502113-8 был внесен в Госдуму единовременно с проектом федерального закона № 502104-8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (далее - КоАП РФ).
Законопроектом № 502104-8 предлагается дополнить КоАП РФ новыми административными составами, в частности, статью 13.11 КоАП РФ дополнить новыми проектируемыми частями 10 – 17, устанавливающими административную ответственность за неуведомление и (или) несвоевременное уведомление оператором персональных данных уполномоченного органа по защите прав субъектов персональных данных о намерении осуществлять обработку персональных данных и об «утечке» персональных данных (части 10 - 11), действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, повторное совершение административного правонарушения, иное.
Кроме того, законопроект № 502104-8 предусматривает многократное усиление административной ответственности для операторов персональных данных за утечки личной информации с возможностью вынесения наказания в виде штрафа, достигающего сотен миллионов рублей. Так, например, если утечка произойдёт в отношении от 1 до 10 тыс. субъектов, то штраф для юридических лиц может составить от 3 до 5 млн; от 10 до 100 тыс. субъектов — от 5 до 10 млн; более 100 тыс. — от 10 до 15 млн рублей. За повторные утечки предлагается ввести оборотные штрафы — от 0,1 до 3 % выручки за календарный год или за часть текущего года, не менее 15 млн и не более 500 млн рублей.
Также значительно ужесточается ответственность за совершение правонарушений в рассматриваемой сфере физических и должностных лиц. Так, в качестве санкций предусматриваются административные штрафы в отношении граждан в размере до 800 тыс. рублей и должностных лиц до 5 млн рублей в зависимости от вида административного правонарушения.