Об уголовной ответственности
за нарушения законодательства в сфере автоматизированной обработки персональных данных
Федосин А. С. *, Червоненко В.Ф. **
The characteristic of corpus delicti created by Criminal Code of Russian Federation, which can be applied at the classification of infringement of legislation in the sphere of automated processing of personal data has been given in this article. On the base of the law enforcement practice analysis authors suggest a correction of article 137 of Criminal Code of Russian Federation called «Infringement of private life immunity».
ю
01
О СЧ
О О
о
Q. С[ CQ
s н
о
0
1
о я с о т ф vo
>5
О *
О ф
У S
2
0
1
о *
о
2 ф d
я *
<
*
S I
н
о ф
со
Минуло уже более пяти лет с момента кардинальных изменений системы законодательства, регулирующей отношения в сфере автоматизированной обработки персональных данных, связанных с принятием Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»1. Безусловно, изменения законодательства позитивно отразились на состоянии защищенности информационных ресурсов персональных данных в Российской Федерации: сформирована система учета операторов обработки, утверждены требования к безопасности автоматизированных систем, начала складываться практика административных процедур контроля и надзора, публикации отчетов о деятельности органа, уполномоченного по защите прав субъектов персональных данных.
Вместе с тем среди недостатков государственно-правового механизма защиты прав субъектов персональных данных нельзя не отметить негативные моменты, обусловленные неопределенностью норм об ответственности, включая уголовную, за нарушения законодательства в сфере автоматизированной обработки персональных данных.
Ни для кого не секрет, что на рынке контрафактной электронной продукции по-прежнему имеется широкий спектр предложений различных видов баз персональных данных, в том числе из ресурсов органов государственной власти, операторов связи, медицинских учреждений. По нашему мнению, одной из основных причин данной ситуации является отсут-
ствие четко отлаженного механизма привлечения к уголовной ответственности за нарушение законодательства в сфере автоматизированной обработки персональных данных. Именно электронная форма обработки таких данных открывает широкие возможности для незаконных действий с ними. Получив копию электронной базы персональных данных, объединяющую массивы сведений о гражданах, злоумышленник в кратчайший период времени имеет потенциальные возможности:
> создания практически неограниченного числа копий базы данных;
> интеграции базы с другими аналогичными базами в целях увеличения объема информации о субъектах персональных данных;
> адресной передачи копии базы данных неограниченному числу пользователей на возмездной или безвозмездной основе;
> размещения базы в Интернете для открытого доступа неограниченного круга лиц.
Перечень вариантов противоправных действий с базами персональных данных не является исчерпывающим и будет расширяться с развитием информационных технологий. К тому же нельзя забывать, что информация, полученная из подобных баз персональных данных, активно используется мошенниками при организации схем присвоения чужого имущества.
Складывающаяся практика привлечения к уголовной ответственности за на-
Кандидат юридических наук. Кандидат юридических наук.
рушение законодательства в сфере обработки персональных данных неоднозначна. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» в ст. 24 в числе прочих видов ответственности за нарушение законодательства в сфере обработки персональных данных указывает уголовную, однако понятие «персональные данные» не используется в российском уголовном законодательстве вообще.
Законодательство большинства европейских стран предусматривает уголовную ответственность за неправомерные действия с персональными данными. Например, одним из основных элементов правовой защиты персональных данных во французском законодательстве является отнесение их обработки к лицензируемому виду деятельности. Особый статус имеют персональные данные, составляющие Национальный реестр идентификации физических лиц.
Закон Франции № 78-17 от 6 января 1978 г. «Об информатике, картотеках и свободах» 2 в ст. 29 закрепляет требование к выполнению мероприятий по защите информации для обеспечения конфиденциальности персональных данных. За нарушение положений данного Закона французским законодательством предусматривается уголовная ответственность3. В частности, использование данных Национального реестра идентификации физических лиц без лицензии наказуемо пятью годами тюремного заключения и штрафом в размере 2 млн франков.
Закон Швеции «Об охране информации»4 устанавливает, что лицо, которое без разрешения получает доступ к данным, подвергающимся автоматической обработке, изменяет, изымает или включает их в тот или иной файл, подлежит наказанию в виде штрафа или тюремного заключения на срок до двух лет за несанкционированный доступ к данным. За попытку несанкционированного доступа к данным или подготовку к совершению такого правонарушения ответственность предусмотрена гл. 23 Уголовного кодекса Швеции.
Уголовный кодекс Российской Федерации5 (УК РФ) не содержит специальных норм, предусматривающих ответственность за нарушение законодательства в области обработки персональных данных. Как показывает анализ правоприменительной практики, основным составом, опосредовано устанавливающим
уголовную ответственность за неправомерные действия с персональными данными без согласия субъекта персональных данных, является ст. 137 УК РФ «Нарушение неприкосновенности частной жизни».
Отечественные правоведы, например — О.Б. Просветова6, Н. Свиридова7, С.Я. Казанцев8, в числе основных норм, устанавливающих ответственность за нарушение порядка обработки персональных данных, также называют ст. 137 УК РФ «Нарушение неприкосновенности частной жизни». Эта норма предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо за распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации. Квалифицирующим признаком указанного деяния является использование служебного положения.
По нашему мнению, применительно к автоматизированной обработке персональных данных объективная сторона рассматриваемого деяния состоит в незаконном собирании или распространении в электронной форме персональных данных, составляющих сведения о частной жизни лица, его личную или семейную тайну, без его согласия либо распространении этой информации публично, в том числе через возможности Интернета. В данном аспекте заслуживает внимания точка зрения О.Б. Просветовой, предлагающей изменить диспозицию ст. 137 УК РФ, включив в нее вместо термина «сведения о частной жизни лица» термин «персональные данные», тем самым фактически предусмотрев уголовную ответственность за нарушение установленного законодательством порядка обработки персональных данных9. Однако данное предложение требует уточнения.
Необходимо оговориться, что до настоящего времени в законодательстве отсутствует четкое определение термина «объем персональных данных» (составляющий сведения о частной жизни лица). Попытка его установить сделана в ст. 10 Федерального закона «О персональных данных», в котором вводится понятие «специальные категории персональных данных». К ним закон относит персональные данные, касающиеся расовой, национальной принадлежности, полити-
ю
О!
О СЧ
О О
о о.
со
I-О
0
1
о я с о т ф ю
О *
О ф
У
2
0
1
о *
о
2
ф
■а
я <
I I-
О ф
со
Ю
Ol
О СЧ
О О
о
Q.
со
S
н о
0
1
о я с о
т ф
VO >s о
о ф
У S
2
0
1
о *
о
2 ф d
я <
S I
н
о ф
со
ческих взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, в отношении которых устанавливается запрет на автоматизированную обработку. В то же время указанная трактовка не вносит ясности в проблемный вопрос. Норма Указа Президента РФ от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»10 устанавливает, что к сведениям конфиденциального характера относится информация о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющая идентифицировать его личность (персональные данные). Данное положение также является неоднозначным, его можно интерпретировать как отождествление понятий «персональные данные любых категорий» и «сведения о частной жизни лица», что позволяет квалифицировать нарушение конфиденциальности электронных баз персональных данных по ст. 137 УК РФ. Складывающаяся в настоящее время правоприменительная практика по данному составу также достаточно противоречива.
Так, в августе 2009 г. в Красноярском крае Лесосибирским городским судом вынесен приговор по уголовному делу по обвинению С., который разместил на своем личном сайте со свободным доступом базу данных с адресами и телефонами всех жителей города. Сотрудники регионального ГУВД посчитали, что в соответствии со ст. 3 Федерального закона «О персональных данных» фамилия, имя, отчество, дата и место рождения, адрес являются персональными данными и составляют личную тайну. В связи с этим С. инкриминировано нарушение неприкосновенности частной жизни, ответственность за которое установлена ч. 1 ст. 137 УК РФ. Лесосибирский городской суд согласился с выводами следствия, в результате чего С. назначено наказание в виде 120 часов обязательных работ11.
Подобная практика представляется не совсем логичной. Правоприменители не учли вышеприведенный тезис о том, что понятия «персональные данные» и «данные о частной жизни» не совпадают. С. фактически был осужден за размещение в Интернете телефонного справочника. Безусловно, С. нарушил положения ФЗ «О персональных данных», однако, по нашему мнению, общественная опасность в данном случае невысока, данные об адресе и номере телефона с трудом можно отнести к сведениям о частной
жизни. Таким образом, С. должен был быть привлечен к административной ответственности по ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». Другой вопрос, если бы С. разместил на сайте персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, относящиеся в соответствии со ст. 10 Федерального закона «О персональных данных» к специальным категориям. Выявление подобных фактов также встречается в правоприменительной практике.
В январе 2011г. прокуратурой Лоух-ского района Республики Карелия выявлен факт нарушения конфиденциальности персональных данных граждан при размещении информации в сети Интернет. Проверкой установлено, что на официальном интернет-сайте муниципального образовательного учреждения «Лоухская средняя общеобразовательная школа» была размещена программа профессионального воспитания, которая помимо общих сведений об учащихся содержала фамилии, имена, отчества обучающихся и их родителей, адреса места жительства, номера телефонов, места работы. Кроме того, были перечислены дети, воспитывающиеся в неполных и малообеспеченных семьях, указаны имеющиеся у конкретных школьников хронические заболевания и вредные привычки.
В связи с нарушением права обучающихся и их родителей на неприкосновенность частной жизни, личную и семейную тайны в отношении юридического лица и директора школы прокуратура района возбудила дела об административных правонарушениях, предусмотренных ст. 13.11 КоАП РФ «Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)». По результатам рассмотрения постановлений прокурора мировой суд назначил образовательному учреждению «Лоухская средняя общеобразовательная школа» административное наказание в виде штрафа в размере 5 тыс. руб., а также оштрафовал директора школы12.
В данном случае директор образовательного учреждения нарушил конфиденциальность персональных данных, от-
носящихся к специальным категориям, однако отделался всего лишь административным штрафом.
Приведенные примеры наглядно иллюстрируют справедливость вывода о неоднозначности толкования в уголовном законодательстве понятия «персональные данные». В связи с изложенным, по нашему мнению, необходимо скорректировать формулировку ст. 137 УК РФ, дополнив ее ч. 3 следующего содержания:
«3. Нарушение установленного законом порядка обработки информации о гражданах (персональных данных) специальных категорий, повлекшее их распространение без согласия субъекта персональных данных или наличия иного законного основания, — наказывается штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок от ста двадцати до ста восьмидесяти часов, либо исправительными работами на срок до одного года, либо арестом на срок до четырех месяцев, либо лишением свободы на срок до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет».
Развитие информационных технологий, в частности — создание автоматизированных информационных систем в органах ЗАГС13 и создание электронных баз данных об усыновлении, обусловили актуализацию ст. 155 УК РФ «Разглашение тайны усыновления (удочерения)» как элемента системы правовой защиты персональных данных специальных категорий, относящихся к семейной тайне. Объективная сторона указанного деяния применительно к автоматизированной обработке данных об усыновлении состоит в несанкционированном распространении информации из автоматизированной информационной системы, в том числе путем размещения подобной базы данных в режиме свободного доступа в открытых телекоммуникационных сетях (Интернет). Неправомерность оснований получения доступа к базам персональных данных позволяет квалифицировать деяние по совокупности преступлений ст. 155 и 272 УК РФ.
Статья 272 УК РФ «Неправомерный доступ к охраняемой законом информации» относительно автоматизированной обработки персональных данных в насто-
ящее время является наиболее действенной и часто используемой нормой, устанавливающей ответственность за незаконный доступ к обрабатываемым в автоматизированных информационных системах персональным данным. Применительно к автоматизированной обработке персональных данных объектом рассматриваемого преступления являются отношения, обеспечивающие безопасность персональных данных, обрабатываемых в ЭВМ, системе ЭВМ или их сети. Объективная сторона рассматриваемого преступления характеризуется неправомерным доступом виновного к персональным данным в процессе их автоматизированной обработки. В настоящее время криминальная практика выработала различные способы организации неправомерного доступа, в том числе путем задействования вредоносных программ14. В таких случаях деяние будет квалифицироваться по совокупности ст. 272 УК РФ «Неправомерный доступ к охраняемой законом информации» и ст. 273 УК РФ «Создание, использование и распространение вредоносных программ для ЭВМ».
Обязательным признаком объективной стороны преступления, предусмотренного ст. 272 УК РФ, являются последствия в виде уничтожения, блокирования, модификации, копирования персональных данных, нарушения работы ЭВМ, систем ЭВМ или их сети. Данное преступление материальное, оно окончено в случае наступления указанных последствий. Ознакомление с персональными данными, хранящимися в памяти компьютера, не позволяет привлечь лицо к уголовной ответственности по ст. 272 УК, если не наступили указанные последствия.
В положениях ч. 2 ст. 272 УК предусмотрены квалифицирующие признаки названного вида преступления. К ним относятся: группа лиц по предварительному сговору; организованная группа; лицо, использующее свое служебное положение; лицо, имеющее доступ к ЭВМ, системе ЭВМ или их сети, с использованием которых осуществляется автоматизированная обработка персональных данных.
Правоприменительная практика, подтверждающая наше мнение, имеется в СУ при МВД по Республике Мордовия. Так, в ноябре 2006 г. К. с помощью домашнего компьютера, подключенного к Интернету по технологии ADSL, осуществил нейтрализацию системы информационной безо-
ю
OI
О CJ
О О
о
Q.
со
S
н о
0
1
о я с о
т ф
VO >5
о *
о ф
У S
2
0
1
о *
о
2
ф
d
я *
<
*
S I
н
о ф
со
Ю
Ol
О СЧ
О О
о
Q.
со
S
н о
0
1
о я с о
т ф
VO >s о
о ф
У S
2
0
1
о *
о
2 ф d
я <
S I
н
о ф
со
пасности одного из медицинских учреждений М-ска и произвел копирование базы персональных данных его пациентов, содержащих их паспортные данные. Затем он разместил неправомерно скопированную базу данных в ресурсах региональной пиринговой сети, доступных неограниченному кругу лиц. В процессе расследования его противоправные действия были квалифицированы по ч. 1 ст. 272 УК РФ. Приговором Ленинского районного суда М-ска К. был осужден на один год лишения свободы условно.
Практика применения ст. 274 УК РФ «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» в Российской Федерации достаточно скупа. Что касается возможности использования данной нормы для квалификации действий лиц, нарушивших правила эксплуатации автоматизированных информационных систем обработки персональных данных, то ситуация представляется неоднозначной, несмотря на то что на протяжении 2007— 2010 гг. принят ряд подзаконных нормативных правовых актов, регламентирующих вопросы эксплуатации автоматизированных информационных систем персональных данных, в том числе обеспечения безопасности персональных данных при их обработке в информационных системах. Это следующие документы:
> Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 17 ноября 2007 г. № 781);
> Порядок проведения классификации информационных систем персональных данных (утв. приказом ФСТЭК России № 55, ФСБ России № 86, Минкомсвязи России № 20 от 13 февраля 2008 г.);
> Положение о методах и способах защиты информации в информационных системах персональных данных (утв. приказом ФСТЭК России № 58 от 5 февраля 2010 г.).
Однако в некоторых случаях указанные правовые акты имеют неопределенный, рекомендательный характер, а защита автоматизированных информационных систем обработки персональных данных организуется исходя из классификации, осуществляемой самим оператором обработки. К тому же обязательным признаком объективной стороны яв-
ляется достаточно широко трактуемая категория «существенный вред».
Представляется, что применение ст. 274 УК РФ возможно для привлечения к ответственности лиц, нарушивших правила эксплуатации государственных и муниципальных информационных систем персональных данных. К подобным автоматизированным информационным системам можно отнести ГАС «Выборы», Центральный банк данных по учету иностранных граждан, временно пребывающих и временно или постоянно проживающих в Российской Федерации, в том числе участников государственной программы по оказанию содействия добровольному переселению в Российскую Федерацию соотечественников, проживающих за рубежом15, и др. Существенный вред в данном случае будет определяться исходя из оценки расходов на восстановление уничтоженных, заблокированных или модифицированных баз персональных данных, а также убытков, нанесенных отсутствием возможности использовать данные информационной системы.
Статья 140 УК РФ «Отказ в предоставлении гражданину информации» в аспекте защиты права на неприкосновенность частной жизни, по нашему мнению, имеет возможность лишь опосредованного применения. Так, государственные и муниципальные органы в соответствии со ст. 13 ФЗ «О персональных данных» создают в пределах своих полномочий государственные или муниципальные информационные системы персональных данных, то есть являются операторами обработки персональных данных. В ст. 24 Конституции РФ указывается, что органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить любому гражданину возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено Законом.
Федеральный закон «О персональных данных» предусматривает в ст. 14 следующие случаи ограничения доступа субъекта к своим персональным данным: > обработка персональных данных, в том числе полученных в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
> обработка персональных данных производится органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
> предоставление персональных данных нарушает конституционные права и свободы других лиц.
В случае отсутствия подобных ограничений должностные лица государственных и муниципальных органов обязаны предоставить гражданину информацию о действиях с его персональными данными. Соответственно применение ст. 140 УК РФ к представителям иных групп операторов обработки персональных данных (юридические и физические лица) невозможно.
Неправомерный отказ должностного лица в предоставлении гражданину информации о действиях с его персональными данными, перечень которых установлен Федеральным законом «О персо-
нальных данных», либо предоставление гражданину неполной или заведомо ложной информации образует состав преступления. Мотивы и цели могут быть самыми разнообразными (неприязнь, месть, ревность и т.п.). При этом в диспозиции статьи указано, что данные действия должны обязательно причинить вред правам и законным интересам граждан. Таким образом, обозначается противоречие: для квалификации деяния как преступления нарушение конституционного права гражданина на получение информации должно причинить вред правам и законным интересам гражданина. Данное положение, по нашему мнению, носит тавтологический, неоднозначный характер и ввиду его обязательности затрудняет квалификацию деяния как преступления.
Таким образом, вышеизложенное свидетельствует об имеющихся пробелах и противоречиях в российском уголовном законодательстве по вопросу ответственности за правонарушения в сфере автоматизированной обработки персональных данных, что существенно затрудняет применение его норм на практике. В целях повышения эффективности механизма защиты конституционного права граждан на неприкосновенность частной жизни, обеспечения надлежащего уровня информационной безопасности Российской Федерации необходимы соответствующие корректировки законодательства в рассматриваемой сфере.
ю
О!
О СЧ
О О
о о.
со
I-О
0
1
о я с о т ф ю
О *
О ф
У
2
0
1
о *
о
2
ф
■а
я <
I I-
О ф
со