Нужно ли в России вводить уголовную ответственность за утечку персональных данных

Сегодня в России уголовная ответственность за посягательства на персональные данные человека предусматривается рядом статей УК РФ, в частности: 137 (нарушение неприкосновенности частной жизни); 138 (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений); 155 (разглашение тайны усыновления (удочерения); 173.2 (незаконное использование документов для образования (создания, реорганизации) юридического лица); 183 (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну); 272 (неправомерный доступ к компьютерной информации), 310 (разглашение данных предварительного расследования) УК РФ и др.
 
Несмотря на наличие в уголовном кодексе целого ряда норм, направленных на охрану персональных данных, какой-то отдельной нормы, предусматривающей ответственность за утечку ПД пока нет. Как следствие правоохранительные органы обладают меньшим «арсеналом» по защите личных данных граждан. Это, в своем роде, развязывает руки потенциальным похитителям.
 
Анализируя практику, можно сказать, что наиболее востребованными нормами с точки зрения защиты от кражи личных данных являются статьи 137 УК РФ и 272 УК РФ. При квалификации действий виновного по первой, неизбежно встает вопрос о соотношении персональных данных и сведений о частной жизни. Ведь эта статья, прежде всего, обеспечивает защиту именно сведений о частной жизни человека. В доктрине и практике можно встретить разные варианты соотнесения этих понятий. Но даже по логике, они пересекающиеся, но не тождественные друг другу. Существуют сведения, которые идентифицируют лицо (например, ФИО, дата и место рождения и т.п.) и, будучи персональными данными, они не являются сведениями о частной жизни человека и не подпадают под охрану статьи 137 УК РФ. И, в то же время, существуют сведения, которые составляют личную тайну, однако не подпадают под определение персональных данных. Как правило, самые типичные ситуации сбора и распространения ПД охватываются именно этой статьей. К примеру, по статье 137 УК РФ на практике нередко квалифицируются действия работников, имеющих к ним доступ (например, в компаниях-сотовых операторах), которые продают их иным, не имеющим к ним доступа, лицам.
 
В практике также стали встречаться случаи, когда кража данных клиентов внутренними зачастую бывшими сотрудниками крупных компаний (например, в компаниях-сотовых операторах), также квалифицируются по статье 274 УК РФ (Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей) и (или) по статье 274.1 УК РФ (Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации). Однако, данная практика пока только формируется и устойчивой назвать ее сложно.

Это означает, что должной защиты по данным статьям пока не наступает.
 
Возвращаясь к ст.137 УК РФ, а именно к реальности и особенностям ее применения, интересным является дело, которое отражает тенденции расширять сферу охраняемой законом информации. Так, человек обратился в правоохранительные органы с заявлением о преступлении по статье 137 УК РФ (нарушение неприкосновенности частной жизни) в связи со звонком «фейкового» сотрудника полиции – довольно распространенная история в последнее время.

Заявитель счел, что поскольку звонивший узнал его номер мобильного телефона и использовал его в личных целях, то тайна его частной жизни нарушена и требуется уголовно-правовая защита его прав, о чем он и указал в своем заявлении. Правоохранительные органы отказали в возбуждении уголовного дела. Этот отказ был обжалован заявителем в судебном порядке.
 
Суд первой инстанции удовлетворил жалобу заявителя на постановление об отказе в возбуждении уголовного дела, признав необходимым защитить его права. Однако апелляционная инстанция отменила это решение суда, указав, что несмотря на то, что информация о номере телефона, хотя и может признаваться персональными данными о частной жизни лица, но в конкретном рассматриваемом случае, она таковой не является.
 
Обоснование: заявитель известен тем, что очень активно и неоднократно обращался в правоохранительные органы и суды по разным поводам, при обращении указывая свой номер мобильного телефона, что означает, в логике суда, что сам заявитель не рассматривает свой номер мобильного телефона как сведения, относящиеся к тайне частной жизни, иначе бы он не указывал свой номер телефон многократно во всех документах, подаваемых им, в том числе, в правоохранительные и судебные органы. Кроме того, суд отметил, что возбуждение уголовного дела в такой ситуации означает, что и в других случаях следует возбуждать уголовные дела только лишь по факту звонка от незнакомого лица.
 
Другой статьей, защищающей от кражи персональных данных, может быть статья 272 УК РФ (неправомерный доступ к компьютерной информации). Она охватывает случаи, когда лицо получает доступ к охраняемой законом компьютерной информации. Основные проблемы, связанные с данной статьей, случаются, когда лицо получает доступ к какой-либо информации в соответствии с должностными полномочиями, поскольку практика защиты прав потерпевших по данной статьей совсем неоднородна.

Так, в одних случаях, нарушение порядка доступа к информации или его осуществление не с той целью, с которой он был первоначально предоставлен, может быть расценено неправомерным доступом и квалифицировано по статье 272 УК РФ. В других случаях, в аналогичной ситуации может быть отказано в уголовно-правовой защите прав потерпевшего.

Однако, тенденция уголовно-правовой защиты прав потерпевших по данной статье встречается на практике все чаще. К примеру, в одном из дел работника телекоммуникационной организации, сфотографировавшего персональные данные абонента, получившего доступ к карточке, после чего отправившего всю собранную информацию своему заказчику на эту информации, привлекли к уголовной ответственности по статье 272 УК РФ, отметив, что доступ к информации являлся неправомерным, поскольку был обусловлен не служебной необходимостью, а просьбой третьего лица.
 
Таким образом, несмотря на то, что уголовное законодательство содержит достаточное количество составов, позволяющих охранять персональные данные граждан, правоприменительная практика является крайне неоднородной, в особенности, в контексте отнесения тех или иных сведений к охраняемым отдельными статьями уголовного закона.
 
Кроме того, постоянное развитие технологий и появление все новых видов персональных данных бросает российским законодателям и правоприменителям все новые и новые вызовы. Так, например, несмотря на несомненную общественную опасность незаконного сбора и распространения биометрических данных граждан РФ, на данный момент с точки зрения уголовного правоприменения их может быть тяжело отнести к личной тайне, предусмотренной статьей 137 УК РФ, а потому их неправомерное собирание и распространение, фактически, может остаться ненаказуемым (в зависимости от способа и фактических обстоятельств дела).
 
В то же самое время ответственность за незаконное получение, сбор и разглашение персональных данных в Европе является более строгой, чем в России.

Например, согласно действующему на территории Европейского Союза Общему регламенту о защите персональных данных (GDPR) верхняя граница штрафа за нарушение оборота персональных данных составляет 20 миллионов евро, или 4% от мирового оборота компании-нарушителя.
 
В США законодательство, в частности ст. 50 закона о Федеральной торговой комиссии (Federal Trade Commission Act 2006), ст. 227 закона о защите прав потребителей телефонной связи (Telephone Consumer Protection Act 47 U.S.C.), ст. 1177 закона о мобильности и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act of 1996) предусматривают штрафы за утечку персональных данных и иной охраняемой законом информации даже для юридических лиц. В этом году средний размер штрафа составил 1,5 миллиона долларов.
 
В ст. 4 раздела 18 о преступлениях и уголовном судопроизводстве кодекса США также установлена ответственность не только за сами утечки данных, но также и за сокрытие информации о такой утечке. Например, федеральным прокурором штата Калифорния был подан уголовный иск к бывшему начальнику службы безопасности Uber за сокрытие информации об утечке данных пользователей, произошедшей в 2016 г. (US v Joseph Sullivan. US district court for the Northern District of California, Case No. 3-20-71168 JCS). Максимальное наказание за сокрытие информации об утечке персональных данных составляет до 5 лет лишения свободы со штрафом в размере 250 000 долларов США.
 
В Великобритании с 2018 года действует закон о защите персональных данных (UK Data Protection Act 2018). В соответствии со ст. 196 данного закона сотрудники компаний могут быть привлечены к уголовной ответственности за неправомерное использование персональных данных и иной охраняемой законом информации, полученной в ходе работы. За период 2017-2021 года средний размер штрафа составил 500 фунтов стерлингов.
 
На сегодня в российской судебной практике отсутствует единообразие по вопросу уголовной ответственности за утечку персональных данных граждан.

Также законодательным «гэпом» является отсутствие уголовной ответственности за незаконной оборот данных. На мой взгляд, необходимо добавить уголовную ответственность за утечку ПД, поскольку у большинства утечек, как показывает практика, есть «заказчик». На данный момент лица, приобретающие и использующие полученные вследствие утечки персональные данные, очень редко привлекаются к уголовной ответственности. Введение уголовного запрета не только на распространение, но и на приобретение и использование незаконно полученных данных, позволило бы сократить количество таких утечек под угрозой ответственности (не обязательно уголовной) для потенциальных заказчиков.
 
Автор - адвокат, заместитель председателя Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России