Поправки в закон об утечке ПД угрожают тюрьмой специалистам по кибербезопасности

Ассоциация больших данных (АБД), включающая в себя крупнейшие российские технологические и финансовые компании, обратилась к депутатам Госдумы с предложением уточнить текст поправок в Уголовный кодекс, ужесточающих наказание за утечки данных и устанавливающих для нарушителей даже уголовную ответственность за сбор или хранение незаконно полученных персональных данных. Об этом сообщает Forbes со ссылкой на письмо ассоциации от 26 декабря 2023 года в комитет Госдумы по госстроительству и законодательству.

Поправки, внесенные 4 декабря 2023 года группой сенаторов, предусматривают ужесточение наказания за утечки персональных данных, вплоть до уголовной ответственности. Согласно предложенным поправкам, за использование, передачу, сбор или хранение незаконно полученных персональных данных предлагается ввести штрафы от 300 000 до 700 000 рублей или лишение свободы на срок от четырех до пяти лет. В случае обнаружения корыстной заинтересованности, крупного ущерба, использования служебного положения или действий, совершенных группой лиц, размер штрафа может достигать до 1 миллиона рублей, а срок лишения свободы - до шести лет). Особо жесткие меры предусмотрены для передачи незаконно полученных данных за границу (подразумевается вывоз из страны электронного носителя с такой информацией) - до восьми лет лишения свободы и штраф до 2 миллионов рублей.

В случае совершения преступлений преступной группой или если это приведет к тяжким последствиям, максимальный срок заключения может быть увеличен до 10 лет, а штраф - до 3 миллионов рублей. Под «тяжкими последствиями» понимается нарушение работы организации и распространение персональных данных с целью причинения вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне, безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям».

По оценкам, представленным в пояснительной записке, на декабрь 2021 года в даркнете циркулировало более 20 000 баз данных, содержащих персональные данные около 80% населения России. Основными источниками утечек являются сторонние злоумышленники и сотрудники компаний, продававшие или передававшие данные.

Кроме того, Госдума сейчас рассматривает также поправки в КоАП, предусматривающие оборотные штрафы за утечки персональных данных.

В АБД поддерживают саму идею введения ответственности за сбор и хранение персональной информации, однако подчеркнули, что состав, вводимый в УК, должен быть однозначным, а ответственность должны нести взломщики и те, кто продает базы данных. В текущей версии законопроекта состав формален и предусматривает наказание за сбор и хранение персональных данных и не зависит от наличия умысла, пояснили в АБД. Ассоциация предлагает ввести в формулировку законопроекта наказание за заведомо незаконные сбор, хранение и использование персональных данных. Это позволит исключить случаи привлечения к уголовной ответственности лиц, случайно получивших доступ к персональным данным, следует из письма АБД.

Также необходимо исключить введение ответственности для сотрудников подразделений информационной безопасности или экспертных учреждений, которые изучают утечки или ресурсы, на которых они размещаются. Они делают это строго в целях мониторинга защищенности и предотвращения компьютерных атак на собственные информационные ресурсы, обращают внимание в АБД.

Минцифры поддержало законопроект. В комитете Госдумы по информполитике отказались от комментариев. В комитете Госдумы по госстроительству и законодательству не ответили на запрос Forbes.

Опрошенные изданием эксперты в целом поддерживают опасения АБД. По их мнению, уголовная ответственность может коснуться любого агрегатора пользовательских данных, а формулировка «персональные данные, полученные незаконно» — трактоваться «крайне широко».

По их мнению, поправки позволяют привлечь к уголовной ответственности владельца практически любого сайта или ИИ-разработчика — так как тот может использовать данные для обучения, не убедившись, есть ли у него на это правовые основания.

АБД объединяет крупнейшие компании в сфере цифровой экономики, такие как «Яндекс», VK, Сбербанк, Газпромбанк, Тинькофф Банк, Россельхозбанк, «Мегафон», «Ростелеком», Qiwi, билайн, МТС, фонд «Сколково», Аналитический центр при правительстве Российской Федерации, ВТБ, Avito, Центр стратегических разработок и другие.