CC BY
16DOI 10.47643/1815-1337_2022_1_163 УДК 34
СОЦИАЛЬНАЯ ОБУСЛОВЛЕННОСТЬ УГОЛОВНО-ПРАВОВОЙ ОХРАНЫ ПЕРСОНАЛЬНЫХ ДАННЫХ: ОПЫТ НЕКОТОРЫХ ЗАРУБЕЖНЫХ СТРАН Social conditionally of criminal law protection of personal data: the experience of some foreign countries
ОЗЕРОВА Анна Сергеевна,
аспирант кафедры уголовного права и криминологии Московского государственного университета им. М.В. Ломоносова (МГУ). 119991, Россия, г. Москва, ул. Ленинские горы, 1. E-mail: annaozerova55@mail.ru;
Ozerova Anna Sergeevna,
postgraduate student of the Department of Criminal Law and Criminology, Moscow State University. Lomonosov. Russian Federation, 119991, Moscow, Leninskie gory, 1. E-mail: annaozerova55@mail.ru
Краткая аннотация: Причиной повышенной правовой охраны персональных данных выступает масштабное использование компьютерных и информационных технологий во всем мире, позволяющее осуществлять автоматическую обработку данных. В статье анализируются различные социальные риски, угрожающие информационной безопасности персональных данных. На примере законодательства зарубежных стран рассматриваются уголовно-правовые средства защиты персональных данных. Делается вывод об обоснованности предоставления уголовной охраны персональным данным в условиях цифровизации и информатизации общества.
Abstract: Large-scale use of computer and information technologes around the world nowadays allows to undertake data processing automatically and thus causes increasing of the level of legal protection of personal data. The current article analyzes various social risks threat-ing the information security of personal data. The writing deals with legislation of foreign countries related to the protection of personal data and corresponding the criminal legal means. At the end the article draws a conclusion about the validity of providing criminal protection to personal data in the condtions of digitalization and informatization of society.
Ключевые слова: цифровизация, информатизация, неприкосновенность частной жизни, персональные данные, биометрические персональные данные, базы данных, идентификация, уголовное право.
Keywords: digitalization, informatization, privacy, personal data, biometric personal data, databases, identification, criminal law.
Дата направления статьи в редакцию: 10.11.2021
Дата публикации: 31.01.2022
Цифровая эпоха обозначила собой стремительное развитие технологий и мгновенную передачу информации, но вместе с этим возникло множество новых угроз для неприкосновенности частной жизни. В связи с этим французский правовед А. Джаммет справедливо отмечает1, что в целях определения эффективности правового регулирования неприкосновенности частной жизни и его соответствия современным реалиям необходимо учитывать интенсивную цифровизацию всех сторон жизни общества.
В средствах массовой информации все чаще появляются сообщения2 о несанкционированном использовании персональных данных (финансовых, медицинских, налоговых, биографических и других) как «цифровыми гигантами» (например, Google, Facebook), так и различными частными корпорациями (и это при том, что персональные данные необоротоспособны). Например, некоторые компании посредством мобильных приложений, которыми практически каждый пользуется в повседневной жизни, без согласия и ведома пользователей собирают, а затем продают третьим лицам персональные данные пользователей.
Так, например, во Франции3 в государственный орган, ответственный за защиту личных данных (Commission Nationale de l'Informatique et des Libertés, CNIL4), была подана жалоба на интернет-сайт «Doctissimo» с онлайн-тестами о состоянии здоровья. На указанном сайте собирались конфиденциальные сведения о пользователях (о депрессивных состояниях и иных заболеваниях), которые в дальнейшем передавались третьим лицам (последние использовали данные в рекламных целях).
Уязвимость персональных данных велика даже в случае их обезличивания5. Согласно исследованиям6 для любого сложного набора данных успешное обезличивание практически невозможно. Так, например, информация о месте жительства водителей такси из Нью-Йорка была определена на основе обезличенных данных о поездках по городу7. В другом случае исходя из анонимных данных о просмотрах пользователями интернет-сайтов были выявлены, в частности, сексуальные предпочтения судьи, заболевание депутата и информация о конкретных уголовных делах8. При этом помимо нарушения чести и достоинства личности несанкционированное распро-
1 Jammet A. La prise en compte de la vie privée dans l'innovation technologique. Thèse de doctorat en Droit public. P.112-115. URL: http://www.theses.fr/2018LIL2D003 (дата обращен ия:10.10.2021 г.)
2 Например, Журналисты NYT узнали о доступе 16 000 сотрудников Facebook к данным пользователей URL: https://www.vedomosti.ru/technology/news/2021/07/14/878205-zhurnalisti-nyt-uznali-o-dostupe-16-tis-sotrudnikov-facebook-k-dannim-polzovatelei (дата обращения: 10.10.2021 г.).
3URL: https://tekdeeps.com/doctissimo-accused-of-collecting-and-reselling-your-health-data/ (дата обращения:10.10.2021 г.)
4URL: https://www.cnil.fr/professionnel (дата обращения:10.10.2021 г.) (дата обращения:10.10.2021 г.)
5 Обезличенные персональные данные — это персональные данные, которые не могут быть отнесены к конкретному субъекту данных.
6Edwards L. Data Protection: Enter the General Data Protection Regulation. uRl: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3182454 (дата обращения: 10.10.2021 г.);
7URL: https://www.theguardian.com/technology/2014/jun/27/new-york-taxi-details-anonymised-data-researchers-warn(дата обращения:10.10.2021 г.)
8URL: https://www.theguardian.com/technology/2018/jan/09/data-protection-bill-amended-to-protect-security-researchers (дата обращения:10.10.2021 г.)
странение персональных данных может позволить злоумышленникам выявить домашние адреса потерпевших, их доходы и проследить маршруты передвижения.
Учитывая значимость и особую уязвимость персональных данных, в национальном законодательстве некоторых зарубежных стран устанавливается уголовно-правовая охрана рассматриваемой категории информации о частной жизни. Но прежде чем перейти к конкретным составам преступлений, предметом которых являются персональные данные, необходимо дать определение рассматриваемого термина.
Во всех государствах-членах Европейского Союза (далее - ЕС) с 25 мая 2018 г. применяется Общий регламент о защите данных (GDPR, далее - Регламент)1. В соответствии с Регламентом под термином «персональные данные» понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу («субъект данных»). При этом идентифицируемое лицо — это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, интеллектуальной, экономической, культурной или социальной идентичности указанного физического лица. Регламент устанавливает общие условия применения санкций за нарушение правового режима персональных данных, предоставляя государствам-членам ЕС возможность установления уголовной ответственности.
После выхода из Европейского союза 31 января 2020 г. и переходного периода, Великобритания, внеся ряд изменений технического характера, инкорпорировала2 положения Регламента в своё национальное законодательство (далее - «UK GDPR»). Наряду с UK GDPR действует Закон о защите данных 2018 г. (Data Protection Act 2018, далее — «DPA» или Закон)3. DPA предусматривает следующие группы составов преступлений, предметом которых выступают персональные данные.
1. Незаконное использование персональных данных (ст.170 DPA), совершенное со знанием или по неосторожности, а именно:
a. получение или распространение персональных данных без согласия оператора;
b. хранение персональных данных без согласия оператора;
c. продажа персональных данных.
2. Повторная идентификация обезличенных персональных данных (ст. 171 DPA) без согласия оператора, ответственного за обезличивание персональных данных.
2.1. Обработка персональных данных, которые были повторно идентифицированы: (а) без согласия оператора, ответственного за обезличивание персональных данных, и (b) в случае, если повторная идентификация являлась незаконной.
3. Изменение, уничтожение или сокрытие персональных данных с целью воспрепятствовать предоставлению информации, которую субъект персональных данных имел право получить (ст. 173 DPA).
4. Неправомерное требование о предоставлении персональных данных (ст. 184 DPA).
4.1. Требование о предоставлении персональных данных: в процессе a) найма виновным сотрудника4, b) трудовых отношений, в которых виновный выступает работодателем, c) заключения договора на оказание услуг, заказчиком по которому выступает виновный.
4.2. Требование о предоставлении персональных данных в связи с оказанием виновным услуг населению и, если это требование является условием оказания услуг.
Согласно ст. 198 Закона максимальным наказанием, которое может быть назначено за совершение рассматриваемых преступлений, является штраф (без ограничения максимального предела, «unlimited fine»).
Необходимо отметить, что политика Управления Комиссара по информации (Information Commissioner's Office, далее - ICO)5 как надзорного органа по защите прав субъектов данных в Великобритании в последнее время направлена на ужесточение мер против преступлений, предметом которых выступают персональные данные. Так, по мнению М. Шоу6, возглавляющего группу уголовных расследований ICO, ошибочно думать, что рассматриваемые преступные посягательства не имеют потерпевших и последствий. Эти преступные действия оказывают пагубное влияние на личность и общество. Как только персональные данные попадают в руки различных компаний, потерпевшие подвергаются стрессу, в частности, из-за повторяющихся навязчивых звонков.
Уголовный кодекс Франции7 также предусматривает систему составов преступлений, предметом которых выступают персональные данные. Условно можно представить указанные преступления в виде следующей классификации.
таких данных, а также об отмене Директивы 95/46/ЕС (Общий Регламент о защите персональных данных)» (Принят в г. Брюсселе 27.04.2016)// СПС «КонсультантПлюс».
2 Поправки были внесены в соответствии с Правилами защиты данных, конфиденциальности и электронных коммуникаций 2019 года. URL: https://www.legislation.gov.uk/uksi/2019/419/contents/made (дата обращения:10.10.2021 г.)
3 URL: https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted (дата обращения:10.10.2021 г.)
4 «Трудоустройство» или наем (employment) означает любую занятость, включая работу по гражданско-правовому договору или государственного служащего, стажировку, волонтёрскую работу.
5URL:https://ico. org.uk/about-the-icc/news-and-events/news-and-blogs/2021/01/motor-industry-employee-sentenced-in-ico-computer-misuse-act-prosecution/ (дата обращения:10.10.2021 г.)
6 Там же.
7URL: https://www.legifrance.gouv.fr/codes/texte_lc/LEGITEXT000006070719/ (дата обращения:10.10.2021 г.)
Регламент № 2016/679 Европейского парламента и Совета Европейского Союза «О защите физических лиц при обработке персональных данных и о свободном обращении
1. Различные нарушения условий обработки персональных данных:
1.1. нарушение законодательных требований (ст. 226-16 УК Франции);
1.2. нарушение мер предосторожности, принимаемых для обеспечения безопасности данных, в частности, от изменения, уничтожения и несанкционированного доступа третьих лиц (226-17 УК Франции);
1.3. нарушение обязанности по уведомлению надзорного органа (CNIL) о несанкционированном доступе к персональным данным в нарушение ст.ст. 33 и 34 Регламента (226-17.1 УК Франции);
1.4. обработка данных при наличии заявленных лицом возражений об использовании оператором персональных данных в целях проведения исследований и опросов (226-18.1 УК Франции);
1.5. обработка данных с нарушением целей, для которых были собраны персональные данные. В этом случае обработка не будет отвечать условиям релевантности, а также являться избыточной. В частности, состав может наличествовать, когда лицо посредством служебного положения использует данные в личных целях (226-21 УК Франции);
1.6. нарушение требований законодательства1 о порядке передачи персональных данных в международные организации или государства, не являющиеся членами ЕС (226-22-1 УК Франции);
1.7. нарушение установленного законодательством срока хранения персональных данных, за исключением случаев, когда предполагается использование данных в исторических, статистических или научных целях (226-20 УК Франции).
2. Нарушения режима персональных данных, не связанные с обработкой:
2.1. сбор персональных данных путем введения в заблуждение, недобросовестным или незаконным способом (226-18 УК Франции);
2.2. распространение персональных данных лица без его согласия, которое может повлечь нарушение права на неприкосновенность частной жизни или чести и достоинства личности (226-22 УК Франции).
3. Преступные посягательства в отношении специальных категорий персональных данных, наделенных законодателем повышенной правовой охраной:
3.1. обработка персональных данных, которые указывают на регистрационный номер, содержащийся в национальном справочнике по идентификации физических лиц (RNIPP) с нарушением законодательных требований (226-16-1 УК Франции);
3.2. нарушение законодательных требований при осуществлении обработки персональных данных, целью которой являются исследования в области медицины (226-19-1 УК Франции);
3.3. хранение в памяти компьютера персональных данных лица без его согласия, по которым прямо или косвенно можно выявить расовое или этническое происхождение лица, его политические, философские или религиозные взгляды, принадлежность к профессиональным союзам и объединениям, а также персональные данные, относящиеся к состоянию здоровья либо к интимной жизни (226-19 УК Франции2);
3.4. хранение в памяти компьютера без согласия лица персональных данных о правонарушениях, обвинительных приговорах или мерах безопасности (226-19 УК Франции).
Таким образом, на примере Великобритании и Франции мы рассмотрели систему уголовно-правовой защиты персональных данных. Необходимо остановиться на факторах, социальных рисках, которые обуславливают необходимость уголовно-правовой охраны персональных данных.
Как известно, в настоящее время возрастают случаи незаконного использования персональных данных и другой конфиденциальной информации. Так, согласно отчету за 2020 г., подготовленному международной консалтинговой компанией IDC3, более половины опрошенных компаний пострадали от несанкционированного доступа к базам персональных данных. Рассматриваемые тенденции свидетельствуют о том, что фокус внимания преступников изменился. Если раньше злоумышленников интересовали в большей степени материальные активы, то сегодня выгоднее и проще «украсть» ценную информацию. Номера кредитных карт, социального страхования, пароли и информация о банковских счетах, адреса жительства потерпевших и другие персональные данные в настоящее время представляют большой интерес для преступников.
В настоящее время функционирует «черный рынок»4 персональных данных, на котором с лёгкостью можно приобрести информацию о конкретном лице или же совокупность сведений о неопределенном круге потерпевших (например, людей с диагнозом СПИД или женщин, сделавших аборт). В правовых исследованиях указывается5, что доступ к персональным данным злоумышленники получают, взламывая систему безопасности государственных учреждений или частных компаний. Особую озабоченность вызывает проблема продажи личных данных лицами, имеющими законный доступ к такой информации, труд которых является крайне низкооплачи-
1 Главы V Регламента (ЕС) 2016/679 или главы XII Закона № 78-17 от 6 января 1978 г.
2 Положения данной статьи распространяются на неавтоматизированные способы обработки персональных данных.
3URL: https://cpl.thalesgroup.com/sites/default/files/content/research_repo^s_white_papers/field_document/2020-04/2020-data-threat-repo^.pdf (дата обращения:10.10.2021 г.)
4 URL: https://www.cps.gov.uk/crime-info/cyber-online-crime (дата обращения:10.10.2021 г.)
5 Institute of Medicine and on Regional Health Data Networks Committee. Health Data in the Information Age: Use, Disclosure, and Privacy, edited by Lohr K.N., Donaldson M.S.,1994.P.160-161.
ваемым (менеджеры услуг сотовой связи, банковские работники и т.д.). Также существует риск того, что указанные сотрудники будут просматривать персональные данные из любопытства.
В целом же существует множество способов незаконного получения персональных данных. В частности, зарубежные правоведы1 выделяют следующие.
1. Поиск счетов и других выброшенных бумаг с личной информацией;
2. скимминг — использование специального устройства, считывающего данные во время обработки банковской карты;
3. фишинг — использование злоумышленником электронных писем или веб-сайтов-подражателей в целях получения информации от самого потерпевшего (например, номеров счетов, социального страхования или логинов и паролей);
4. методы социальной инженерии. Получение личной информации под ложным предлогом непосредственно от жертвы, введенной в заблуждение злоумышленником;
5. подсматривание данных («подглядывание из-за плеча»). Наблюдение из близлежащего места, когда потерпевший набирает номер своего телефона или кредитной карты, подслушивание разговоров, при которых сообщаются личные данные;
6. использование незащищенной беспроводной сети (Wi-Fi).
Появление баз данных (как частных в виде клиентских баз данных и других, так и государственных), в которых централизованно хранится информация о множестве лиц, также способствует увеличению случаев несанкционированного доступа к личным данным. Соответственно, неспособность обеспечить надлежащую всестороннюю защиту баз данных является причиной нарушения права на неприкосновенность частной жизни2 значительного круга потерпевших. Обобщая различные риски, которые несет в себе централизованное хранение персональных данных для неприкосновенности частной жизни, можно отметить следующие из них.
1. Потенциальные случаи взлома3 частных и государственных баз данных.
2. Несанкционированный доступ к личным данным (в том числе биометрическим) причиняет ущерб не только субъекту
4
данных, но и членам его семьи.4
3. Риск незаконного доступа к базе данных нарушает право личности защищать себя, контролируя распространение информации о частной жизни.
Отмеченной проблеме уделяется внимание в докладе Верховного комиссара ООН по правам человека, где указывается, что «крайне трудно компенсировать последствия «кражи» персональных биометрических данных, которая может существенно нарушить права физического лица. Кроме того, биометрические данные могут быть использованы не для тех целей, для которых они собирались, включая незаконное отслеживание и мониторинг отдельных лиц»5.
Таким образом, информация о частной жизни конкретного лица или неопределенного круга лиц является в настоящее время ценнейшим «товаром», незаконному спросу на который отвечает сформировавшийся «черный рынок» персональных данных. Учитывая все рассмотренные в настоящей статье информационные угрозы, законодатели зарубежных стран обоснованно, по нашему мнению, устанавливают повышенную уголовно-правовую охрану персональных данных.
Библиография:
1. Edwards L. Data Protection: Enter the General Data Protection Regulation. URL: https://papers.ssrn.com/sol3/papers.cfm7abstract id=3182454 (дата обращения: 10.10.2021 г.);
2. Institute, of Medicine, and on Regional Health Data Networks Committee. Health Data in the Information Age: Use, Disclosure, and Privacy, edited by Lohr K.N., Donaldson M. S. 1994. pp.272;
3. Jammet A. La prise en compte de la vie privée dans l'innovation technologique. Thèse de doctorat en Droit public. URL: http://www.theses.fr/2018LIL2D003 (дата обращения: 10.10.2021 г.);
4. Melo O. Identity Theft among the Middle Class in the US: Its Dynamics Dissertation Manuscript Submitted to Northcentral University School of Business in Partial Fulfillment of the Requirements for the Degree of doctor of business administration. pp.272.
References (transliterated)
1. Edwards L. Data Protection: Enter the General Data Protection Regulation. URL: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3182454 (data obrashcheniya: 10.10.2021 g.);
2. Institute, of Medicine, and on Regional Health Data Networks Committee. Health Data in the Information Age: Use, Disclosure, and Privacy, edited by Lohr K.N., Donaldson M. S. 1994. pp.272;
3. Jammet A. La prise en compte de la vie privée dans l'innovation technologique. Thèse de doctorat en Droit public. URL: http://www.theses.fr/2018LIL2D003 (data obrashcheniya: 10.10.2021 g.);
4. Melo O. Identity Theft among the Middle Class in the US: Its Dynamics Dissertation Manuscript Submitted to Northcentral University School of Business in Partial Fulfillment of the Requirements for the Degree of doctor of business administration. pp.272.
1 Melo O. Identity Theft among the Middle Class in the US: Its Dynamics. 2020. P.40-45.
2 Julian J. Robinson v. The Attorney General of Jamaica, Claim № 2018HCV01788 (2019). P. 29
3URL:https://www.thehindu.com/news/national/210-govt-websites-made-aadhaar-details-public-uidai/article20555266.ece (дата обращения:10.10.2021 г.)
4 Huduma Namba Judgment, Nubian Rights Forum and Others v. The Hon. Attorney General, Consolidated Petitions № 56, 58 & 59 of 2019. Параграф 1038- 1040; Julian J. Robinson v. The Attorney General of Jamaica, Claim № 2018HCV01788. 2019. P. 212
5 URL: https://undocs.org/pdf?symbol=ru/A/HRC/39/29 (дата обращения:10.10.2021 г.)
