CC BY
6УДК 343.2
ВЛИЯНИЕ ЗАКОНОДАТЕЛЬНЫХ ИНИЦИАТИВ НА УГОЛОВНО-ПРАВОВУЮ ПОЛИТИКУ В ОБЛАСТИ ЗАЩИТЫ ПРАВА ЧЕЛОВЕКА НА ЗДОРОВЬЕ
Галюкова М. И.
Центральный районный суд города Челябинска, г. Челябинск, Россия
Аннотация. Дается анализ законопроекта, внесенного депутатами Российской Федерации на рассмотрение в Государственную Думу РФ, который касается защиты персональных данных человека. Отмечается, что новые положения могут оказать существенное влияние на систему здравоохранения России, вызвать всплеск «ятрогенных» составов преступлений, потребительского экстремизма. Сделан вывод, что законодательная реформа позитивного законодательства потребует коррекции правоприменительной практики и криминализации деяний в области уголовно-правовой охраны персональных данных.
Ключевые слова: персональные данные, пациент, здоровье, жизнь, «ятрогенные» преступления, уголовный закон.
THE IMPACT OF LEGISLATIVE INITIATIVES ON CRIMINAL LAW POLICY IN THE FIELD OF PROTECTION OF THE HUMAN RIGHT TO HEALTH
Galyukova M. I.
Central District Court of the city of Chelyabinsk, Chelyabinsk, Russian Federation
Abstract. The article analyzes the bill submitted by the deputies of the Russian Federation for consideration in the State Duma of the Russian Federation. The project concerns the protection of personal data of a person. The new provisions may have a significant impact on the healthcare system of the Russian Federation, cause a surge in "iatrogenic" crimes, consumer extremism. Legislative reform of positive legislation will require correction of law enforcement practice and criminalization of acts in the field of criminal law protection of personal data. Keywords: personal data, patient, health, life, "iatrogenic" crimes, criminal law.
Депутатами Государственной Думы А. Е. Хинштейном, С. А. Гавриловым, С. М. Боярским, А. В. Горелкиным, А. А. Ющенко, А. И. Немкиным, А. О. Ткачевым, И. А. Пань-киной, А. К. Луговой, Д. Г. Гусевым и сенаторами Российской Федерации А. А. Клишасом, А. В. Яцкиным 6 апреля 2022 г. внесен на рассмотрение законопроект № 101234-81 о внесении изменений в Федеральный закон «О персональных данных» и иные законодательные акты Российской Федерации по вопросам защиты прав субъектов персональных данных» (далее — законопроект № 101234-8). 24 мая 2022 г. законопроект принят в первом чтении,
1 О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (по вопросам защиты прав субъектов персональных данных) : законопроект № 101234-8. URL: https://sozd.duma.gov.ru/bill/101234-8 (дата обращения: 30.05.2022).
срок предоставления поправок установлен до 22 июня 2022 г.
В пояснительной записке к законопроекту приведено обоснование вносимых изменений, со ссылкой на наличие сервисов в сети Интернет, занимающихся противоправным оборотом персональных данных, где можно приобрести информацию в отношении большинства российских граждан из различных баз данных (адреса, недвижимость, паспорта, авиа-и железнодорожные перелеты и т. п.). Инициаторы утверждают, что «все это не только нарушает право человека на неприкосновенность частной жизни, гарантированное Конституцией, но и создает реальную угрозу для совершения преступлений и правонаруше-ний»2. Интересно, что при этом приводится абстрактный перечень преступлений, не соответствующий составам преступлений УК РФ.
Также указывается, что недопустим сбор персональных данных в целях идентификации
2 Там же.
военнослужащих и сотрудников правоохранительных органов (так называемая деаноними-зация), что напрямую угрожает жизни и личной безопасности их самих, а также их родных. В этой связи хотелось бы отметить, что ранее подобный вопрос о защите персональных данных военнослужащих не поднимался, несмотря на участие российских военнослужащих в иных военных спецоперациях либо законное техническое присутствие на территории другой страны (например, в Сирийской Арабской Республике). Имеются достаточно эффективные механизмы защиты прав военнослужащих, в том числе на их действия распространяется военная и государственная тайна. Следственный комитет РФ в настоящий момент возбуждает уголовные дела по факту нарушения прав как военнослужащих, так и обычных граждан. Не говоря уже о таком классическом механизме защиты личных данных, как привлечение к уголовной ответственности за нарушение неприкосновенности личной жизни (ст. 137 УК РФ).
Особо отмечается депутатами необходимость защиты сведений о принадлежащей гражданам недвижимости, которые также являются персональными данными и нуждаются в соответствующей защищенности. Рискнем предположить, что это основная причина внесения изменений в законодательство, так как ввиду антироссийских санкций производится конфискация имущества некоторых физических лиц за границей. Об этом косвенно говорит предлагаемая редакция ст. 363 Правил внесения в Единый государственный реестр недвижимости записи о возможности предоставления персональных данных правообладателя объекта недвижимости, содержащихся в Едином государственном реестре недвижимости Федерального закона от 13 июля 2015 г. № 218-ФЗ «О государственной регистрации недвижимости»1.
Как указано в пояснительной записке, данным законопроектом втрое (с 30 до 10 дней) сокращаются сроки исполнения операторами запросов органов власти и граждан по вопросам, связанным с незаконной обработкой персональных данных. Вводится экстеррито-
риальность применения российского законодательства о персональных данных. Устанавливается возможность вмешательства уполномоченных органов власти в вопросы обработки персональных данных российских граждан на территории других государств.
Исходя из представленных предложений, будет максимально ограничена передача персональных данных зарубежным государствам, о чем говорят новая редакция ст. 12 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Закон «О персональных данных»)2 и новое определение трансграничной передачи персональных данных (передача персональных данных иностранному государству, государственному органу иностранного государства, международной и иностранной организации, иностранному гражданину, лицу без гражданства либо уполномоченному ими лицу, юридическому лицу, зарегистрированному в иностранном государстве, или иной структуре без образования юридического лица независимо от их организационно-правовой формы, находящимся на территории иностранного государства).
Итак, напомню, что персональные данные — любая информация, относящаяся прямо или косвенно к определенному или определяемому лицу (п. 1 ст. 3 Закона «О персональных данных»). По сути к персональным данным относится практически любая информация о человеке: сведения о его ФИО, поле и возрасте, образовании, месте жительства, семейном положении и др. Помимо этого к персональным данным относится и изображение человека, с помощью которого можно установить его личность, — например фотография, видеозапись или портрет.
Некоторые вносимые предложения на данном историческом этапе являются далеко не бесспорными.
Во-первых, п. 3 ст. 3 Закона «О персональных данных» будет содержать указание не только на «передачу (распространение, предоставление)» персональных данных, но и на «предоставление доступа или осуществление логических и (или) арифметических операций с такими данными». Остаются открытыми сле-
1 О государственной регистрации недвижимости : федер. закон от 13 июля 2015 г. № 218-ФЗ / / Собр. законодательства РФ 2015. № 29 (ч. 1). Ст. 4344.
ГЛАГОЛЪ ПРАВОСУДИЯ
2 О персональных данных : федер. закон от 27 июля 2006 г.
№ 152-ФЗ // Собр. законодательства РФ. 2006. № 31 (ч. 1). Ст. 3451.
дующие вопросы. Кто, как, с использованием каких программ, в каких целях будет осуществлять работу с персональными данными? Чем принципиально данный механизм обработки будет отличаться от уже существующего? Означает ли это трансформацию массива персональных данных в Big Data или People Data? И самый главный вопрос: сможет ли данная редакция обеспечить адекватную защиту персональных данных от кражи? 4 мая 2022 г. СМИ сообщили об утечке персональных данных клиентов медицинской организации «Ге-мотест». Как сообщили ТАСС в пресс-службе Group-IB, 1 мая на форуме в Даркнете пользователь действительно выставил на продажу базу, якобы принадлежащую известной российской медицинской лаборатории. База данных содержала, по разным сведениям, от 31 млн до 554 млн строк записей клиентов, включая их полные имена, даты рождения, номера телефонов, адреса, адреса электронной почты и паспортные данные [1].
Во-вторых, наряду с оператором, вводится еще один субъект обработки персональных данных — лицо, осуществляющее обработку персональных данных. Интересно, что «в случае, если оператор поручает обработку персональных данных в соответствии с частью 3 настоящей статьи, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных, несет ответственность перед оператором»1. В пояснительной записке отсутствует обоснование необходимости введения данного субъекта. Интересно, что как раз данный пункт было рекомендовано депутатам доработать в целях устранения терминологической дислексии.
В-третьих, согласие на обработку персональных данных должно быть не только «конкретным, информированным и сознательным», а еще и «предметным и однозначным». Могу смело утверждать, что в медицинских организациях невозможно взять от пациента пред-
1 О внесении изменений в Федеральный закон «О персональных данных», отдельные законодательные акты Российской Федерации и признании утратившей силу части четырнадцатой статьи 30 Федерального закона «О банках и банковской деятельности» (по вопросам защиты прав субъектов персональных данных) :. URL: https://so2d.duma.gov.ru/bill/101234-8 (дата обращения: 30.05.2022).
метное и однозначное согласие на медицинское вмешательство.
1 мая 2022 г. внесены изменения в ст. 16 Закона РФ «О защите прав потребителей»2. Пункт 6 указанного закона изложен в редакции, относящей к недопустимым условиям договора с потребителем: «условия, которые предусматривают выполнение дополнительных работ (оказание дополнительных услуг) за плату без получения согласия потребителя». Например, во время оказания платных медицинских услуг под наркозом (полостная операция) врач понимает, что необходимо расширить объем медицинской помощи, но формально он не может этого сделать, так как не получено предметное и однозначное согласие на вмешательство и выполнить данные работы он может выполнить только бесплатно. Имеет ли право пациент после этого заявить в полицию по факту причинения его здоровью вреда? Да.
В-четвертых, ст. 11 предлагается дополнить ч. 11 следующего содержания: «11. Не допускается обработка биометрических персональных данных несовершеннолетнего в возрасте до восемнадцати лет, за исключением случаев, предусмотренных частью 2 настоящей статьи».
При этом в предлагаемой редакции статьи отсутствует указание на законных представителей несовершеннолетнего. Иными словами, каким образом будет теперь организовываться процесс обучения несовершеннолетнего (например, организация экскурсий в музеи, направление на олимпиады и т. д.) и процесс оказания медицинской помощи, неясно.
Как известно, девушка по достижении 15 лет может обратиться в медицинскую клинику и сделать аборт без информирования родителей. В случае принятия данного законопроекта медицинская организация не сможет оформить медицинскую документацию на юную пациентку.
Предлагается дополнить ст. 11 Закона «О персональных данных» ч. 3 следующего содержания:
«3. Оператор не вправе отказывать в предоставлении услуг в случае отказа субъекта
2 О защите прав потребителей : закон РФ от 7 февр. 1992 г. № 2300-1 / / Ведомости Съезда народных депутатов Российской Федерации и Верховного Совета Российской Федерации. 9 апр. 1992 г. № 15. Ст. 766.
персональных данных предоставить биометрические персональные данные и (или) дать согласие на обработку персональных данных, если в соответствии с федеральным законом получение оператором согласия на обработку персональных данных не является обязательным. Предоставление биометрических персональных данных не может быть обязательным, за исключением случаев, предусмотренных в части 2 настоящей статьи».
Медицинская помощь может оказываться в рамках государственной, муниципальной и частной систем здравоохранения. При обращении в любую медицинскую организацию первым этапом является процесс идентификации пациента (за исключением оказания экстренной медицинской помощи, анонимной сдачи анализов на ВИЧ-инфекцию, гепатиты, анонимной помощи алкоголикам и наркоманам). Исходя из буквального толкования нововведений, совершеннолетний пациент при обращении за медицинской помощью имеет право не предъявлять в регистратуре свой паспорт и скрывать ФИО, обстоятельства жизни (анамнез жизни), обстоятельства болезни (анамнез болезни, аллергоанамнез и т. д.). То есть фактически речь идет о полностью анонимном оказании медицинской помощи. Разумеется, при таких условиях ни один врач не сможет гарантировать правильную постановку диагноза, верный курс лечения. На наш взгляд, это может привести к катастрофичным последствиям в здравоохранении, поскольку такая схема запрограммированно ведет к возникновению врачебной ошибки, которая может быть квалифицирована по ч. 2 ст. 109 либо ст. 124 УК РФ1. Иными словами, общество может получить рост так называемых ятроген-ных преступлений.
Диспозиция ст. 238 УК РФ предусматривает уголовную ответственность за выполнение работ или оказание услуг, не отвечающих требованиям безопасности жизни или здоровья потребителей. Возможно ли оказать медицинскую услугу в соответствии с требованиями безопасности в условиях полной дезинфор-мированности врача? Ответ очевиден — нет.
Добавлю, что Президент РФ дал распоряжение разработать и внедрить генетическую
1 Уголовный кодекс Российской Федерации от 13 июня 1996 г. № 63-Ф3 // Собр. законодательства РФ от 17 июня 1996 г. № 25. Ст. 2954.
паспортизацию новорожденных. Предполагается, что в будущем генетический паспорт станет самым достоверным носителем всех персональных данных человека. Исходя из данной редакции (полного запрета на сбор персональных данных несовершеннолетних), реализовать данное направление будет невозможно.
Из положительных аспектов законопроекта следует поддержать предлагаемые редакции в ст. 21 Закона «О персональных данных»:
«31. В случае установления факта неправомерного или случайного доступа, предоставления, распространения, передачи персональных данных, повлекших нарушение прав субъектов персональных данных, оператор обязан в течение двадцати четырех часов с момента наступления такого инцидента уведомить уполномоченный орган по защите прав субъектов персональных данных. Указанная информация должна содержать сведения о причинах, повлекших нарушение прав субъектов персональных данных, о предполагаемом вреде, нанесенном правам субъектов персональных данных, о лицах, допустивших указанный доступ, а также о принятых мерах по устранению соответствующих последствий».
Необходимо дополнение ст. 23 ч. 10 и 11 следующего содержания:
«10. Для учета информации об инцидентах, предусмотренных частью 31 статьи 21 настоящего Федерального закона, уполномоченный орган по защите прав субъектов персональных данных ведет реестр учета инцидентов в области персональных данных, определяет порядок и условия взаимодействия с операторами в рамках ведения настоящего реестра.
11. Информация, содержащаяся в указанном реестре, о компьютерных инцидентах, повлекших неправомерные доступ, представление, распространение, передачу персональных данных, в порядке, установленном совместно федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности и федеральным органом исполнительной власти, осуществляющим функции по контролю (надзору) за соответствием обработки персональных данных, передается в федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности».
Вместе с тем в указанных положениях имеет место правовая недосказанность, а именно: «инцидент, повлекший неправомерный до-
ГЛАГОЛЪ ПРАВОСУДИЯ
ступ, предоставление, распространение, передачу персональных данных», есть не что иное как преступление, которое в зависимости от конкретных обстоятельств дела подлежит квалификации по соответствующей статье УК РФ. Сообщение о преступлении должно подаваться в порядке, предусмотренном ст. 144 УПК РФ1.
Обобщая вышеизложенное, отмечу, что непродуманные и излишние изменения «позитивного» законодательства неизменно окажут влияние на уголовную политику в области защиты права человека на здоровье. Прогнозируемый всплеск заявлений пациентов в полицию по «ятрогенным» преступлениям повлечет смещение ракурса внимания законодателя:
1) на обстоятельства, отягчающие назначение наказания;
2) объективную сторону ст. 109, 124, 238 УК РФ в части расширения факультативных признаков объективной стороны деяния;
3) криминализацию деяний, связанных с незаконным доступом к персональным данным пациентов и их оборотом.
Первые два пункта приведут к временной дестабилизации судебной практики до появления соответствующих разъяснений Верховного Суда РФ. Третий пункт позволит создать эффективный механизм защиты массива персональных данных в диапазоне от охраны биобанка как информационной структуры до их последующих трансформационных изменений в Big Data.
Список литературы
1. «Гемотест» проверяет информацию об утечке данных клиентов // ТАСС : офиц. сайт. URL: https://tass.ru/ekonomika/14544537 (дата обращения: 06.05.2022).
Галюкова Мария Игоревна - кандидат юридических наук, доцент, судья, Центральный районный суд города Челябинска (Россия, г. Челябинск), e-mail: 753825777@mail.ru
Galyukova Maria Igorevna - Candidate of Juridical Sciences, Associate Professor, Judge of the Central District Court of the City of Chelyabinsk (Chelyabinsk, Russian Federation), e-mail: 753825777@mail.ru
1 Уголовно-процессуальный кодекс Российской Федерации от 18 дек. 2001 г. № 174-ФЗ // Собр. законодательства РФ. 2001. № 52 (ч. 1). Ст. 4921.
