Пояснительная записка к проекту федерального закона N 502113-8 "О внесении изменений в Уголовный кодекс Российской Федерации"

Досье на проект федерального закона

В соответствии с Федеральным законом от 27 июля 2006 года N 152-ФЗ "О персональных данных" персональными данными является любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом в различных ситуациях в категорию персональные данные попадают - фамилия, имя и отчество, адреса мест жительства и мест пребывания, номера "мобильных" и "городских" телефонов, электронная почта, реквизиты различных документов, в том числе удостоверяющих личность, и многие другие данные, позволяющие идентифицировать конкретного гражданина.

По информации из открытых источников, по состоянию на начало 2022 года 130 миллионов жителей России пользуются сетью "Интернет", из них 106 миллионов россиян являются пользователями социальных сетей, куда загружают свои персональные данные. Кроме того, персональные данные размещаются пользователями в личных кабинетах на сайтах и в приложениях для оказания различных интернет-услуг (финансовых, курьерских, информационных, образовательных, развлекательных и т.д.) и организации купли-продажи товаров.

В связи с тем, что персональные данные стали постоянным "спутником" любых коммуникаций человека в сети "Интернет", проблемы обеспечения защиты таких данных, связанных с угрозами неправомерного доступа к ним, распространения и использования персональных данных в преступных целях, с каждым днем становятся все более актуальными.

Это обусловлено существенным ростом противоправных действий в отношении персональных данных, а также фактов незаконного использования личной информации при совершении различных преступлений, в том числе мошенничеств.

По данным ФКУ "Главный информационно-аналитический центр" МВД России, опубликованным на официальном сайте МВД России, за период с января по июнь 2022 года каждое четвертое преступление совершено с использованием информационно-телекоммуникационных технологий (далее - ИТТ); по итогам 2021 года зарегистрировано 517,7 тыс. преступлений, совершенных с использованием ИТТ или в сфере компьютерной информации, что на 1,4% больше, чем за аналогичный период 2020 года; 55,7% таких преступлений относится к категориям тяжких и особо тяжких, 78,4% - к кражам или мошенничествам, 9,9% совершается с целью незаконного производства, сбыта или пересылки наркотических средств.

Число зарегистрированных преступлений, совершаемых с использованием ИТТ с 2014 по 2019 год увеличилось более чем в 25 раз (в 2014 году было зарегистрировано 11 тысяч преступлений, в 2015 году - 43,8 тысяч, в 2016 году - 65,9 тысяч, в 2017 году - 90,6 тысяч, в 2018 году - 174,7 тысяч, в 2019 году - 294,4 тысяч).

Также, по отдельным оценкам, с января по август 2022 года в России произошли утечки 197 млн. записей персональных данных и платежной информации. Черный рынок персональных данных постоянно растет, а основными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов. По отдельным оценкам в 2020 году общий ущерб от утечек личных данных превысил 3 млрд. рублей, а в 2022 году указанный ущерб уже превысил 8 млрд. рублей.

Так, на декабрь 2021 года в теневом сегменте сети "Интернет" ("даркнет") циркулирует более 20000 баз данных общим объемом более 10 Тб, содержащие персональные данные о 80% населения России.

Общий объем официально выявленных утечек персональных данных за 2022 г. (о которых официально сообщалось в СМИ) - более 1130 млн. записей, содержащие сведения о персональных данных граждан Российской Федерации. По информации экспертов на площадках в "даркнете" объем записей более 1600 млн. записей.

При этом, за 2021 г. общий объем официально выявленных утечек составил более 100 млн. записей, содержащих сведения о персональных данных, и 610 млн. записей размещены в "даркнете".

Анализ правоприменительной практики показывает, что в настоящее время наказание, предусмотренное уголовным законодательством за преступления, связанные с незаконным использованием персональных данных, нарушением тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, несопоставимо их общественно опасным последствиям.

По итогам заседания Совета по развитию гражданского общества и правам человека, состоявшегося 7 декабря 2022 года, Президентом Российской Федерации дано поручение рассмотреть вопрос об усилении ответственности за незаконный оборот персональных данных и иные нарушения законодательства в области персональных данных.

Настоящий проект федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации" (далее - законопроект) направлен на исполнение вышеуказанного поручения Президента Российской Федерации и на совершенствование уголовно-правовых механизмов борьбы с преступными деяниями в сфере персональных данных.

Законопроект дополняет Уголовный кодекс Российской Федерации (далее - УК РФ) новой статьей 272.1, предусматривающей уголовную ответственность за использование и(или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, а также за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения персональных данных.

Подавляющее число утечек - это базы данных, состоящие из записей о конкретных людях (пользователях, клиентах, сотрудниках) - компьютерная информация. Если ранее утечки исчислялись сотнями или тысячами записей, то в последние годы речь идет уже о миллионах записей. В связи с этим законопроектом предусмотрен специальный объект преступного посягательства - компьютерная информация, содержащая персональные данные, полученная путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.

При этом отдельно урегулировано, что в рамках уголовного законодательства не будут рассматриваться случаи, когда персональные данные используются правомерно в личных или семейных целях.

Таким образом, для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем. Это позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 "Нарушение законодательства РФ в области персональных данных", а также иных составов преступлений.

С учетом характера и степени общественной опасности указанных деяний представляется целесообразным отнести все составы преступлений, предусматриваемые новой статьей УК РФ, к категории не ниже средней тяжести.

Законопроект предусматривает уголовную ответственность для злоумышленников, которые незаконно собирают, хранят, используют и (или) передают компьютерную информацию, содержащую персональные данные, полученные путем неправомерного доступа к средствам хранения, обработки или передачи компьютерной информации или с использованием иных незаконных способов.

Также отдельное наказание в рамках предлагаемых норм УК РФ предусмотрено для лиц, которые незаконно собирают, хранят, используют и (или) передают персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также биометрические персональные данные.

К усиленной уголовной ответственности будут привлекаться преступники, которые совершают незаконные действия с компьютерной информацией, содержащей персональные данные:

- группой лиц по предварительному сговору;

- в случае, если преступление повлекло причинение крупного ущерба;

- в целях обогащения;

- с использованием служебного положения;

- с использованием специальных технических средств, предназначенных для негласного получения информации (т.н. "шпионских устройств").

Уголовные меры наказания будут также применены к злоумышленникам, которые незаконно передают базы данных с персональными данными иностранным гражданам, иностранным организациям или иностранным государственным структурам, а также для преступников, которые вывозят такую компьютерную информацию из Российской Федерации на любых электронных носителях, в том числе на флеш-накопителях и жестких дисках.

Самые значительные меры уголовной ответственности будут применены к организованным группировкам, которые совершали незаконные действия с базами данных, содержащими персональные данные, полученные незаконным путем, а также к тем чьи действия в данной сфере повлекли тяжкие последствия.

Отдельная уголовная ответственность предусмотрена для лиц, которые создают и администрируют сайты в сети "Интернет" или другие интернет-ресурсы и программы, которые позволяют незаконно хранить и (или) незаконно предоставлять доступ к компьютерной информации, содержащей персональные данные. Таким образом, будет пресечена деятельность коммерческих интернет-ресурсов, предоставляющих доступ к незаконно полученным персональным данным граждан на платной основе.

Изменения, предлагаемые законопроектом, также способны повлиять на срок давности привлечения виновных лиц к уголовной ответственности, что будет способствовать реализации принципа неотвратимости наказания, увеличит срок погашения судимости в целях профилактики рецидива.

Принятие законопроекта позволит эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных, а также реализует превентивные механизмы уголовного права, что позволит предотвратить многие преступления в данной сфере. Кроме того, законопроект позволит обеспечить справедливое рассмотрение правоохранительными органами заявлений от граждан, считающих себя потерпевшими от действий преступников, которые незаконно распоряжаются их персональными данными.

В законопроекте учтены замечания Правительства Российской Федерации и Верховного Суда Российской Федерации, изложенные в официальных отзывах на законопроект.

В целях формирования в Российской Федерации комплексного механизма по предотвращению правонарушений в сфере персональных данных данный законопроект вносится в Государственную Думу единовременно с проектом федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который предусматривает многократное усиление административной ответственности для операторов персональных данных за "утечки" личной информации с возможностью вынесения наказания в виде штрафа, достигающего сотен миллионов рублей.

Финансово-экономическое обоснование
к проекту федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации"

Реализация Федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации" не повлечет увеличения расходов бюджетов бюджетной системы Российской Федерации.

Перечень
актов федерального законодательства, подлежащих признанию утратившими силу, приостановлению, изменению или принятию в связи с принятием Федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации"

Принятие Федерального закона "О внесении изменений в Уголовный кодекс Российской Федерации" не потребует признания утратившими силу, приостановления, изменения и принятия других актов федерального законодательства.