Проблема в том, что законодателем декларируется одна цель (защита персональных данных граждан от иностранных спецслужб), которая противоречит вышеназванной Конвенции и праву гражданина на самостоятельное распоряжение данными о себе, а текст закона реализует другую цель (хранение копии персональных данных граждан в России). Причина разницы между декларируемой и реализуемой целями – это сложный вопрос. В России такое происходит часто (хорошо, что иногда такое происходит в пользу прав граждан).
Статья 12. Передача персональных данных через границы и национальное право
1. Нижеследующие положения будут применяться к передаче через национальные границы персональных данных, проходящих автоматическую обработку или предназначенных для автоматической обработки, независимо от способа такой передачи. 2. Сторона не будет запрещать или ставить под специальный контроль информационные потоки персональных данных, идущие на территорию другой Стороны, исходя исключительно из соображений защиты неприкосновенности личной сферы.
3. Тем не менее, каждая Сторона вправе отступить от положений пункта 2:
а. в той мере, в какой ее законодательство устанавливает специальные правила в отношении определенных категорий персональных данных или автоматизированных баз персональных данных — кроме случаев, когда правилами другой Стороны предусмотрена равноценная защита;
b. когда передача осуществляется с ее территории на территорию Государства, не являющегося Стороной Конвенции, через территорию другой Стороны — с той целью, чтобы такая передача не совершалась в обход законодательства Стороны, указанной в начале настоящего пункта.
Еще можно добавить ссылку на пункт 2 статьи 12 Конвенции о защите физических лиц при автоматизированной обработке персональных данных: «Сторона не должна запрещать или обусловливать специальным разрешением трансграничные потоки персональных данных, идущие на территорию другой Стороны, с единственной целью защиты частной жизни». А также ссылку на ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
Соответственно, если по хранящимся данным нельзя определить конкретное физическое лицо, то это не персональные данные.
Если признать процитированное утверждение верным (хотя оно и не основано на законе), то выходит, что для определения отношения данных к категории персональных нужно попытаться «пробить» физическое лицо по этим данным. Но законных возможностей это сделать у операторов персональных данных нет, а значит они не могут разделять вводимые пользователями идентификационные данные на персональные и неперсональные (данное утверждение справедливо и для любых возможных государственных регуляторов в области персональных данных, поскольку персональные данные могут передаваться из иностранных государств, где нет законной возможности «пробить» физическое лицо), что приводит к необходимости защищать все имеющиеся пользовательские данные как персональные. Ведь в случае возникновения претензий и споров оператор персональных данных не сможет доказать, что по строке «Иванов Иван Иванович» нельзя установить конкретное физическое лицо, а по строке «Абрывалг Ицукенг Сергеевич» – можно (если человек с таким уникальным именем существует). Именно это обстоятельство и подчеркивается в ФЗ «О персональных данных» – если физическое лицо уже определено или еще определяется, то любые его данные являются персональными, хоть они и могут иметь лишь косвенное отношение к физическому лицу (т. е. один лишь идентификатор записи в базе физических лиц будет персональными данными, подобно тому, как персональными данными признаются и идентификаторы бланка паспорта – серия и номер, хотя без базы данных паспортов этот идентификатор ничего не значит).
Соответственно информацию создает пользователь, с помощью программы, на использование которой он имел право.
Нужно отличать действия программы с информацией (без участия пользователя) от действий пользователя с информацией (с применением программы как средства). Допустим, Вы открываете интернет-страницу, на ней срабатывает эксплоит (для браузера) и на Вашем компьютере в итоге запускается программа, перезаписывающая содержимое всех накопителей нулевыми байтами. Если эти нулевые байты – это Ваша, как пользователя, информация, то привлечение создателя указанной программы для перезаписи по статье 273 УК РФ невозможно. Ведь это Вы сами себе создали новую информацию – нулевые байты, какая тут может быть вина другого лица? Но в действительности эту информацию создали не Вы, Вы даже не знали о ее создании до наступления определенных последствий.
Это в первом приближении :-) Например, УК РФ признает программу вредоносной не по факту осуществления этой программой каких-то действий, а по факту предназначенности этой программы для осуществления действий в заведомо несанкционированном режиме. Здесь уже и признак «предназначение» (какие функции в программе являются основными), и признак «заведомо несанкционированно» (без санкции надлежащего лица в общем случае, который охватывается умыслом автора программы, без учета случаев, которые умыслом не охватывались).
Тут важно что — использование чужих ресурсов (что все сайты делают, когда рендерятся в браузере), или извлечение выгоды? Если последнее, каким законом это регулируется?
Речь идет о том, какие действия программ запрещены уголовным законом. Допустим, что уголовный закон запрещает создавать программы, нарушающие работу ЭВМ, в том числе путем чрезмерного потребления ее ресурсов, тогда «майнер» подпадает под этот запрет (критерий чрезмерности рассматривать не будем, просто считаем, что он выполняется). Потому что чрезмерное потребление ресурсов было умышленно заложено в «майнер» автором. А флеш-баннеры, созданные быдлокодерами и тормозящие работу компьютера, существуют не из-за умышленных действий, а из-за небрежности в процессе разработки. Далее нужно смотреть, признает ли наш гипотетический уголовный закон небрежные деяния преступлениями (для примера можете посмотреть на статьи 24-28 УК РФ).
Принадлежит ли пользователю информация, сгенерированная с использованием ресурсов его компьютера, вопрос спорный.
Пользователю однозначно принадлежит информация, созданная им самим с использованием любого компьютера (даже чужого, если в каком-либо договоре не оговорено иное). Об этом говорится в ФЗ «Об информации, информационных технологиях и о защите информации» (п. 5 ст. 2).
С другой стороны, обсуждаемый «майнер» не управляется пользователем, а значит создаваемая им информация последнему не принадлежит. Следовательно, не пользователь санкционирует действия с этой информацией.
Принадлежность информации, кстати, вообще не фигурирует в этой статье, а только ее несанкционированное копирование.
А кто санкционирует действия с информацией? Ее обладатель (ч. 3 ст. 6 вышеназванного федерального закона).
но согласно законодательству РФ этот скрипт имеет признаки вредоносного ПО
Ч. 1 ст. 273 УК РФ:
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
Признак «заведомо несанкционированно» (без согласия пользователя в случаях, охватываемых умыслом автора) есть. Но какое действие совершается программой заведомо несанкционированно? Уничтожение компьютерной информации? Нет. Ее блокирование? Нет. Модификация или копирование? Возможно, но затрагивают ли эти действия компьютерную информацию пользователя, а не создателя программы (действия с последней пользователь не может санкционировать, это не его информация)? Нейтрализация средств защиты компьютерной информации? Нет. А нарушение работы ЭВМ было исключено из признаков вредоносной программы в 2011 году.
Примечательно, что постановление Правительства РФ №759 от 31 июля 2014 года освобождает организаторов распространения информации от обязанности хранить данные о пользователях, не связанных с Россией (через используемый ими IP-адрес или иным способом, перечень которых дан в указанном акте). Что формально лишает органы, осуществляющие оперативно-разыскную деятельность, возможности расследовать преступления, совершенные иностранными гражданами против российских граждан с использованием ресурсов российских организаторов распространения информации. А это уже умаление действия уголовного закона в отношении лиц, совершивших преступление вне пределов РФ (статья 12 УК РФ).
Вообще говоря, подобные процедуры существовали и раньше. По закону правоохранительные органы вправе запросить у любой организации необходимую им информацию — при наличии законных оснований и при соблюдении законной процедуры. С этой точки зрения, принципиально ничего не поменялось.
Поменялось. Постановление Правительства РФ №759 от 31 июля 2014 года формально обязывает операторов электронных денежных средств предоставлять органам, осуществляющим оперативно-разыскную деятельность, сведения, явно отнесенные ФЗ «О банках и банковской деятельности» к банковской тайне, без судебного решения, хотя указанным федеральным законом предусмотрен именно судебный порядок. Разумеется, федеральный закон имеет большую юридическую силу, чем указанное постановление, но… Кроме того, названное постановление обязывает без судебного решения предоставлять и метаданные о соединениях пользователей, что противоречит пункту 4 статьи 63 ФЗ «О связи», а также части 2 статьи 13 УПК РФ.
Если Вы не согласны, то прошу обосновать, каким образом могут быть применены в России или США нормы уголовного права государства, в котором действует шариат.
Суд как раз может и должен учитывать законы иностранных государств в случае, если конфликт выходит за рамки одного государства. Уж как раз в США всем судьям это хорошо известно, так как там каждый штат имеет свои законы.
В УК РФ написано: «Преступность деяния, а также его наказуемость и иные уголовно-правовые последствия определяются только настоящим Кодексом». В других государствах есть аналогичные нормы. Не нужно путать гражданское право с уголовным.
Суд не может требовать от нас совершить преступление, следовательно решение должно быть пересмотрено.
Суд не может использовать уголовный закон иностранного государства при определении преступности деяния (за исключением ситуации, когда местный уголовный закон исключает преступность деяния, совершенного на территории иностранного государства, если на территории этого государства указанное деяние не признается преступлением – такая норма есть в некоторых уголовных кодексах). Следовательно, с позиции суда лицо, к которому обращено соответствующее местному закону требование предоставить данные с сервера на территории иностранного государства, не совершит преступление, если выполнит указанное требование.
Тогда решил, что видимо, это такая мода пошла в банкоматной среде. Оказалось так и есть.
И самое печальное, что так сразу и не скажешь – это хорошо прикрепленный скимер или антискимер от банка (злоумышленники иногда маскируют свои устройства под такие зеленые полусферы) ;-)
Нет, но закону может придаваться экстерриториальное действие. Что, на мой взгляд, и происходит.
Если признать процитированное утверждение верным (хотя оно и не основано на законе), то выходит, что для определения отношения данных к категории персональных нужно попытаться «пробить» физическое лицо по этим данным. Но законных возможностей это сделать у операторов персональных данных нет, а значит они не могут разделять вводимые пользователями идентификационные данные на персональные и неперсональные (данное утверждение справедливо и для любых возможных государственных регуляторов в области персональных данных, поскольку персональные данные могут передаваться из иностранных государств, где нет законной возможности «пробить» физическое лицо), что приводит к необходимости защищать все имеющиеся пользовательские данные как персональные. Ведь в случае возникновения претензий и споров оператор персональных данных не сможет доказать, что по строке «Иванов Иван Иванович» нельзя установить конкретное физическое лицо, а по строке «Абрывалг Ицукенг Сергеевич» – можно (если человек с таким уникальным именем существует). Именно это обстоятельство и подчеркивается в ФЗ «О персональных данных» – если физическое лицо уже определено или еще определяется, то любые его данные являются персональными, хоть они и могут иметь лишь косвенное отношение к физическому лицу (т. е. один лишь идентификатор записи в базе физических лиц будет персональными данными, подобно тому, как персональными данными признаются и идентификаторы бланка паспорта – серия и номер, хотя без базы данных паспортов этот идентификатор ничего не значит).
Не всегда.
Нужно отличать действия программы с информацией (без участия пользователя) от действий пользователя с информацией (с применением программы как средства). Допустим, Вы открываете интернет-страницу, на ней срабатывает эксплоит (для браузера) и на Вашем компьютере в итоге запускается программа, перезаписывающая содержимое всех накопителей нулевыми байтами. Если эти нулевые байты – это Ваша, как пользователя, информация, то привлечение создателя указанной программы для перезаписи по статье 273 УК РФ невозможно. Ведь это Вы сами себе создали новую информацию – нулевые байты, какая тут может быть вина другого лица? Но в действительности эту информацию создали не Вы, Вы даже не знали о ее создании до наступления определенных последствий.
Речь идет о том, какие действия программ запрещены уголовным законом. Допустим, что уголовный закон запрещает создавать программы, нарушающие работу ЭВМ, в том числе путем чрезмерного потребления ее ресурсов, тогда «майнер» подпадает под этот запрет (критерий чрезмерности рассматривать не будем, просто считаем, что он выполняется). Потому что чрезмерное потребление ресурсов было умышленно заложено в «майнер» автором. А флеш-баннеры, созданные быдлокодерами и тормозящие работу компьютера, существуют не из-за умышленных действий, а из-за небрежности в процессе разработки. Далее нужно смотреть, признает ли наш гипотетический уголовный закон небрежные деяния преступлениями (для примера можете посмотреть на статьи 24-28 УК РФ).
Пользователю однозначно принадлежит информация, созданная им самим с использованием любого компьютера (даже чужого, если в каком-либо договоре не оговорено иное). Об этом говорится в ФЗ «Об информации, информационных технологиях и о защите информации» (п. 5 ст. 2).
С другой стороны, обсуждаемый «майнер» не управляется пользователем, а значит создаваемая им информация последнему не принадлежит. Следовательно, не пользователь санкционирует действия с этой информацией.
А кто санкционирует действия с информацией? Ее обладатель (ч. 3 ст. 6 вышеназванного федерального закона).
Ч. 1 ст. 273 УК РФ:
Признак «заведомо несанкционированно» (без согласия пользователя в случаях, охватываемых умыслом автора) есть. Но какое действие совершается программой заведомо несанкционированно? Уничтожение компьютерной информации? Нет. Ее блокирование? Нет. Модификация или копирование? Возможно, но затрагивают ли эти действия компьютерную информацию пользователя, а не создателя программы (действия с последней пользователь не может санкционировать, это не его информация)? Нейтрализация средств защиты компьютерной информации? Нет. А нарушение работы ЭВМ было исключено из признаков вредоносной программы в 2011 году.
Поменялось. Постановление Правительства РФ №759 от 31 июля 2014 года формально обязывает операторов электронных денежных средств предоставлять органам, осуществляющим оперативно-разыскную деятельность, сведения, явно отнесенные ФЗ «О банках и банковской деятельности» к банковской тайне, без судебного решения, хотя указанным федеральным законом предусмотрен именно судебный порядок. Разумеется, федеральный закон имеет большую юридическую силу, чем указанное постановление, но… Кроме того, названное постановление обязывает без судебного решения предоставлять и метаданные о соединениях пользователей, что противоречит пункту 4 статьи 63 ФЗ «О связи», а также части 2 статьи 13 УПК РФ.
В УК РФ написано: «Преступность деяния, а также его наказуемость и иные уголовно-правовые последствия определяются только настоящим Кодексом». В других государствах есть аналогичные нормы. Не нужно путать гражданское право с уголовным.
Суд не может использовать уголовный закон иностранного государства при определении преступности деяния (за исключением ситуации, когда местный уголовный закон исключает преступность деяния, совершенного на территории иностранного государства, если на территории этого государства указанное деяние не признается преступлением – такая норма есть в некоторых уголовных кодексах). Следовательно, с позиции суда лицо, к которому обращено соответствующее местному закону требование предоставить данные с сервера на территории иностранного государства, не совершит преступление, если выполнит указанное требование.
Если на банкомате стоит аудиоскимер, то можно (хоть и сложно) декодировать дамп карты правильно.
И самое печальное, что так сразу и не скажешь – это хорошо прикрепленный скимер или антискимер от банка (злоумышленники иногда маскируют свои устройства под такие зеленые полусферы) ;-)