В России планируют сажать на десять лет за «незаконное» использование персональных данных

Группа депутатов и сенаторов предложила ввести уголовную ответственность за «незаконное» использование персональных данных. Хотя авторы заявляют, что новые меры помогут бороться с киберпреступностью, возникает всё больше опасений, что журналисты-расследователи потеряют возможность работать с базами (даже открытыми), а пострадавшим гражданам будет по-прежнему трудно добиваться компенсаций за утечку их информации. Как может работать новый законопроект, отвечают эксперты, опрошенные «Новой-Европа».

Чем грозит новый законопроект?

Законопроект 4 декабря внесли сенаторы Андрей Турчак и Андрей Клишас, а также глава комитета Госдумы по информполитике Александр Хинштейн. В дополнение к действующей статье 272 УК РФ (неправомерный доступ к компьютерной информации) предлагается ввести статью 272.1, по которой:

• за использование, передачу, сбор и хранение утекших данных предлагается установить штраф до 300 тысяч рублей либо лишение свободы на срок до четырех лет;
• за использование биометрических данных — до пяти лет тюрьмы или штраф до 700 тысяч рублей;
• за использование данных, которое повлекло крупный ущерб, — до шести лет лишения свободы со штрафом до 1 млн рублей;
• за передачу персональных данных за границу — до восьми лет тюрьмы со штрафом до 2 млн рублей.
• за всё перечисленное выше, если это привело к тяжким последствиям или было совершено организованной группой, — до десяти лет лишения свободы со штрафом до 3 млн рублей;
• за создание программ, предназначенных для незаконного хранения и передачи данных, — до пяти лет лишения свободы со штрафом до 700 тысяч рублей.

За что хотят штрафовать?

Согласно поправкам в КоАП, авторы законопроекта хотят увеличить штрафы за сам факт утечек персональных данных — наказания за это будут возрастать в зависимости от масштаба «слива».

В частности, устанавливаются штрафы для граждан (до 200 тысяч рублей) и должностных лиц (до миллиона рублей), допустивших утечку. Для юрлиц — штрафы от 300 тысяч до 15 млн рублей: сумма увеличивается, если в сеть «утекут» наиболее чувствительные данные, например, медицинская информация, пишет Турчак. Однако какая именно информация станет «чувствительной», в законопроекте не уточняется.

Законопроект также предполагает, что штрафы придут, если не уведомить Роскомнадзор об утечках (до 100 тысяч рублей для граждан, до 800 тысяч рублей для должностных лиц и до 3 млн рублей для юрлиц).

Зачем, по мнению авторов, нужен этот законопроект?

Поправки в УК, по мнению инициаторов, нужны, так как в России выросло количество утечек и преступлений, связанных с персональными данными.

Александр Хинштейн заявил, что самые значительные меры уголовной ответственности будут применяться «к организованным группировкам», которые незаконно использовали базы данных, что повлекло потом «тяжкие последствия». По его мнению, принятие пакета законов станет мотивацией для бизнеса вкладываться в развитие информационной безопасности и поможет силовикам «эффективнее бороться с киберпреступностью».

Другой инициатор, Андрей Турчак, заявил, что действующие меры ответственности за утечку данных (максимум 100–300 тысяч рублей для юрлиц) мало кого стимулируют, а поправки в законодательство «кардинально изменят ситуацию с утечками персданных». «Серьезные сроки лишения свободы отпугнут многих. А бизнесу станет дешевле вложиться в цифровую безопасность, чем платить штрафы», — добавил он.

Почему принять такой закон решили именно сейчас?

Власти говорят о необходимости реформировать законодательство о персональных данных последние несколько лет, отметил в разговоре с «Новой-Европа» эксперт по кибербезопасности (он предпочел остаться анонимным. — Прим. ред.).

Верховный суд РФ в пояснительной записке к законопроекту отмечает, что в российском законодательстве уже есть статья 13.11 КоАП, которая предусматривает административную ответственность за нарушения в области персональных данных.

Но после начала войны в Украине количество утечек выросло в разы: их объем в 2022 году составил 667 млн записей, что почти в 2,7 раза больше, чем годом ранее. Произошел также резкий рост кибератак на российскую инфраструктуру, вылившийся в массовые утечки. Поэтому неудивительно, что российские власти решили ужесточить меры по противодействию утечкам, говорит эксперт.

Инициатива о повышении штрафов обсуждается с лета 2022 года: Минцифры тогда предложило установить соразмерность штрафов за утечки объемам и критичности персональных данных, которые появились в незаконном обороте.

Об оборотных штрафах говорят уже давно, подтвердил в разговоре с «Новой-Европа» юрист общественной организации «Роскомсвобода» Саркис Дарбинян. Однако введение уголовной ответственности за неправомерный доступ и обработку «утекших» баз серьезно ужесточает законодательство в сфере персональных данных, отмечает он.

«Законопроект направлен на мотивацию операторов персональных данных ответственнее относиться к их хранению, что, в свою очередь, должно минимизировать возможные утечки различных баз, в которых может находиться информация о ком угодно. Уже сейчас из имеющихся утечек можно собрать практически полную информацию о человеке: где он живет, куда ходит, чем интересуется и что ест на обед. Этими данными может воспользоваться опять же кто угодно: от журналистов до злоумышленников», — считают эксперты службы технической поддержки «На связи».

В службе предположили, что бизнес не захочет платить такие крупные штрафы и действительно будет развивать защиту баз данных, чтобы снизить риски для своих клиентов. «Возможно, бизнесы будут отказываться от хранения персональных данных у себя и заниматься только их обработкой и передачей, чтобы избежать утечек, — в таком случае вместо десятка маленьких баз мы получим одну большую, при утечке которой пострадает еще большее количество пользователей. То есть где-то вероятность утечки снизится, а где-то ухудшатся последствия», — отмечают эксперты «На связи».

Против кого нацелены новые поправки?

Норма будет применяться против тех, кто публично заявляет об использовании персональных сведений в своей деятельности, — это в первую очередь журналисты, работающие с базами данных, отмечает собеседник «Новой-Европа». Также можно предположить, что «незаконной» окажется работа расследователей с сервисами по «пробиву», такими как GetContact и «Глаз Бога», добавил эксперт.

Согласно федеральному закону, обработка персональных данных необходима для профессиональной деятельности журналиста, а также для личных и научных целей. Однако ни о первом, ни о втором в пояснительной записке к законопроекту не упоминается. «Можно прогнозировать повышение риска для журналистов и ученых, которые будут использовать открытые, закрытые или полузакрытые персональные данные в своей работе», — говорит эксперт.

Вместо того чтобы упростить взыскание компенсации для пострадавших, депутаты увеличивают норму об ответственности. Это, по словам собеседника «Новой-Европа», позволит точечно применять новую норму к отдельным лицам.

«В условиях кибервойны задачей атакующих является компрометация любых баз, содержащих данные россиян. На основании этих утечек, которые позволяют построить взаимосвязи, журналистами было подготовлено уже не одно коррупционное расследование. Поправки в УК ударят не по компаниям, из которых текут данные, а прежде всего по тем СМИ и НКО, которые используют эти базы и на основании полученных данных публикуют материалы», — соглашается Саркис Дарбинян.

При этом Дарбинян отмечает, что для редакций и журналистов, которые находятся вне зоны досягаемости российских властей, по большому счету ничего не изменится. Однако для тех, кто продолжает жить и работать в России, риски серьезно возрастают. Если закон будет принят, это может привести к обыскам, изъятию серверов и техники, а также к арестам и уголовному преследованию журналистов и экспертов в сфере приватности и защиты информации, которые занимаются исследованиями и мониторингом утечек.

В условиях, когда власти закрывают реестры с данными, утечки становятся ключевым инструментом для продолжения работы, пишет журналист-расследователь Андрей Захаров. «Я также понимаю, что это не нормально, когда персональные данные моей семьи и всех граждан лежат на земле», — добавляет он. Также, по его мнению, новый закон в российских реалиях работать не будет: огромные штрафы будут взимать рандомно, а бороться будут только с теми ботами, которые не сотрудничают с властями. «От появления новой статьи пофигизм путинских чиновников и коррупция никуда не денутся», — считает Захаров.

А граждан, не связанных с журналистикой, это коснется?

Авторы законопроекта утверждают, что новая статья УК не распространяется на ситуации, когда персональные данные правомерно используют в личных или семейных целях. В теории обычных граждан это коснуться не должно, но, как отметили эксперты, опрошенные «Новой-Европа», до конца неясно, как именно будут работать новые поправки.

«Работать с правомерно полученными данными безопасно до тех пор, пока вы обеспечиваете их сохранность. Если же вы допустите утечку, это будет нарушением закона», — заявили эксперты службы технической поддержки «На связи».

В такой ситуации возникает проблема использования баз данных мошенниками и «сталкерами», отмечает Захаров. «Ботами и другими подобными сервисами пользуются не только журналисты-расследователи для благих целей. Прежде всего, это ревнивые мужья, сталкеры, которые преследуют бывших, а также мошенники. И давайте говорить честно: персональные данные граждан не должны валяться на дороге, как сейчас», — считает он.

С ним согласился и эксперт по кибербезопасности в комментарии «Новой-Европа»: если, например, муж ищет жену с ребенком, бежавших от него из-за домашнего насилия, формально он может пользоваться ботами и слитыми базами данных для их поиска и остаться безнаказанным. Эту сферу нужно законодательно регулировать, отмечает наш собеседник.

«Лучше доработать институт коллективных исков и сформировать практику на уровне Верховного суда РФ, чтобы пользователи смогли получить реальный инструмент защиты и давления на компании, которые так мало вкладываются в разработку организационно-правовых и технических мер сохранения безопасности пользовательских данных», — добавил Дарбинян.

Этот законопроект точно примут?

Шансы на то, что законопроект превратится в закон, крайне высоки. Депутаты и сенаторы от «Единой России» подготовили документ по поручению Владимира Путина, проект уже получил положительные отзывы правительства и Верховного суда.