Глава СПЧ предлагает признать базы с персональными данными имуществом
Валерий Фадеев считает, что это поможет наказывать за утечки как бизнес, так и мошенников
Уголовная ответственность за утечку персональных данных может быть введена в случае их приравнивания к имуществу. Такое мнение высказал председатель президентского Совета по правам человека Валерий Фадеев. Он считает, что персональные данные – это созданный в результате труда продукт, который имеет ценность, и их утечку надо квалифицировать как хищение (ст. 158 УК РФ).
«Если база данных будет признана имуществом, тогда уголовные статьи начнут работать, появится возможность сделать наказание жестче», – сказал он журналистам. Фадеев считает недостаточным административное наказание, предусмотренное сегодня, – согласно ст. 13.11 КоАП предусмотрен штраф до 500 000 руб. для юрлиц. Фадеев добавил, что он уже направил запросы в юридические институты для прояснения возможности сделать базы с данными имуществом. Член СПЧ Игорь Ашманов считает, что для прекращения череды утечек необходимы «показательные процессы», чтобы не формировалось «чувство безнаказанности».
Законопроект об ужесточении ответственности за утечки разрабатывает Минцифры совместно с думским комитетом по информационной политике. Ведомство пока представило только общие очертания документа, как пояснил «Ведомостям» глава комитета Александр Хинштейн, законопроект еще не готов, по планам он будет внесен в Госдуму осенью.
По его словам, речь идет об установлении уголовной ответственности за хищение и последующую передачу персональных данных при наличии тяжких последствий. «Если гражданин, после того как эти персональные данные утекли, например, скончался или стал инвалидом», – говорит Хинштейн. При этом административная ответственность будет усилена: для юрлиц и ИП – 1% от совокупной выручки за год. Предполагается определить, что именно является объектом утечки персональных данных, а также то, как будет устанавливаться вина конкретной компании. «Ведомости» направили запрос в Минцифры. Зампредседателя комитета Госдумы по информполитике Сергей Боярский сказал «Ведомостям», что законодательство «последовательно идет по пути ужесточения правил оборота персональных данных», поскольку существующий размер штрафов «не мотивирует» компании.
С начала 2022 г. произошло несколько крупных утечек персональной информации в публичный доступ. В марте в сеть утекли данные «Яндекс.Еды»: в интернете появилась карта с данными более 6,8 млн пользователей сервиса, на которой была информация об их именах, номерах телефонов и адресах. Компанию оштрафовали на 60 000 руб. В мае в сеть попала информация о клиентах Delivery Club, а в середине июня – данные «Яндекс.Практикума». Фадеев также напомнил об утечке биоданных из лаборатории «Гемотеста» и о сливе личной информации беженцев из Крыма. Правительство республики подтвердило утечку.
«Приравнивая базы с персональными данными к имуществу, законодатели создадут возможность для введения таких баз в гражданский оборот – их продажу, покупку, отчуждение», – сказала «Ведомостям» руководитель групп аналитики, аудита и техподдержки ИБ компании «Крок» Анастасия Федорова. Главный аналитик РАЭК Карен Казарян пояснил «Ведомостям», что персональные данные – это объект интеллектуальных прав. «Они не могут являться имуществом: их нельзя отчуждать», – сказал эксперт. Он напомнил, что ст. 272 УК уже предусматривает уголовную ответственность за неправомерный доступ к охраняемой законом информации, но уголовный состав в таких делах «сложно доказуем».
Ст. 137 УК предусматривает суровую уголовную ответственность за нарушение неприкосновенности частной жизни, вплоть до пяти лет лишения свободы, а под нарушением неприкосновенности частной жизни следует понимать и разглашение персональных данных, говорит зампредседателя коллегии адвокатов «Клишин и партнеры» Андрей Шугаев. Кроме того, продолжает эксперт, согласно ст. 128 и 129 Гражданского кодекса, имущество – это совокупность материальных и нематериальных объектов гражданских прав, которые по общему правилу могут отчуждаться и переходить от одного лица к другому. «Если предположить, что персональные данные мы задекларируем как имущество, тогда правомерна постановка вопроса о переходе прав на персональные данные от одного лица к другому, что является юридическим нонсенсом, казуистикой», – поясняет он.
Управляющий партнер коллегии адвокатов Pen & Paper Алексей Добрынин говорит, что уже существует большое количество уголовно-правовых норм, предусматривающих ответственность за незаконное собирание и распространение определенной информации, например сведений о частной жизни, коммерческой тайны, государственной тайны и т. д. Криминализировать утечки можно по аналогии, а потому не требуется признавать эти сведения имуществом, поскольку их незаконное распространение нарушает не отношения собственности, а конституционные права личности.
14 июля президент подписал закон, который усиливает меры защиты персональных данных и ужесточает требования к операторам обработки информации. Оператор обязан будет в течение суток сообщить органам власти об утечке данных. В течение трех суток компания должна будет представить результаты внутренней проверки и информацию об ответственных за утечку, если их выявили.