Ассоциация больших данных (АБД), в которую в числе прочих входят «Яндекс», VK, «Сбербанк», «Газпромбанк», «Тинькофф Банк», «Россельхозбанк» и «МегаФон», попросила уточнить формулировки об уголовной ответственности за работу с незаконно полученными персональными данными, сообщает Forbes со ссылкой на письмо ассоциации от 26 декабря 2023 года в комитет Госдумы по госстроительству и законодательству. По мнению АБД, текущие формулировки крайне размыты и позволяют посадить в тюрьму даже тех, кто по профессии работает с утечками данных, их устранением и анализом.
Согласно принятым 4 декабря 2023 года поправкам:
Выжимка из законопроекта
«Незаконные использование и(или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путём неправомерного доступа к средствам её обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путём, за исключением деяний, совершённых в отношении компьютерной информации, содержащей персональные данные, предусмотренные частью второй, наказывается штрафом в размере до трёхсот тысяч рублей, либо принудительными работами на срок до четырёх лет, либо лишением свободы на тот же срок».
«То же деяние, совершённое в отношении компьютерной информации, содержащей специальные категории персональных данных и (или) биометрические персональные данные, наказывается штрафом в размере до семисот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до одного года с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до двух лет или без такового, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок».
«Деяния, совершённые из корыстной заинтересованности, повлекшее причинение крупного ущерба, группой лиц по предварительному сговору, с использованием своего служебного положения, наказывается штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового, либо принудительными работами на срок до пяти лет со штрафом в размере до одного миллиона рублей или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового, либо лишением свободы на срок до шести лет со штрафом в размере до одного миллиона рублей или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до трёх лет или без такового».
«Деяния, сопряжённые с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей, содержащих такие данные, наказываются лишением свободы на срок до восьми лет со штрафом в размере до двух миллионов рублей или в размере заработной платы или иного дохода осуждённого за период до трёх лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до четырёх лет или без такового».
«Если деяния повлекли тяжкие последствия, либо были совершены организованной группой, наказываются лишением свободы на срок до десяти лет со штрафом в размере до трёх миллионов рублей или в размере заработной платы или иного дохода осуждённого за период до четырёх лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до пяти лет или без такового».
«Создание и(или) обеспечение функционирования информационных ресурсов (сайта в сети „Интернет“ и (или) страницы сайта в сети „Интернет“, информационной системы, программы для электронных вычислительных машин), заведомо предназначенных для незаконного хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, наказывается штрафом в размере до семисот тысяч рублей или в размере заработной платы или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до двух лет или без такового, либо принудительными работами на срок до пяти лет со штрафом в размере до семисот тысяч рублей или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до семисот тысяч рублей или иного дохода осуждённого за период до двух лет с лишением права занимать определённые должности или заниматься определённой деятельностью на срок до двух лет или без такового».
Основная претензия АБД состоит в формальности представленных поправок. Текст не учитывает наличие или отсутствия злого умысла, а уголовную ответственность должны нести взломщики и те, кто продаёт базы данных. Ассоциация предлагает внести в формулировки наказание за заведомо незаконные сбор, хранение и использование персональных данных, чтобы исключить наказание лиц, «случайно получивших доступ к персональным данным».
Также предлагается исключить введение ответственности для ИБ-сотрудников или экспертных организаций, изучающих утечки или ресурсы, размещающие их. В текущей формулировке закона, как указывает АБД, они никак не защищены.
Опрошенные Forbes эксперты назвали опасения АБД обоснованными. «Персональные данные, полученные незаконно» — расплывчатая формулировка. Уголовная ответственность может коснуться любого агрегатора пользовательских данных, указывают эксперты, а буквальное толкование статьи может привести к привлечению к уголовной ответственности сотрудников по информационной безопасности, а также людей с низкой осведомлённостью в области ИБ. В частности, многие владельцы сайтов хранят персональную информацию пользователей без согласия самих пользователей. Кроме того, ответственность грозит и тем, кто использовал персональные данные, не убедившись в наличии всех правовых оснований для их использования.
