В Госдуму внесен законопроект об уголовной ответственности за незаконное использование персональных данных.
Документ составлен группой влиятельных сенаторов и депутатов, среди которых первый зампред Совета Федерации Андрей Турчак, председатель конституционного комитета Совфеда Андрей Клишас и председатель комитета Госдумы по информполитике Александр Хинштейн. На законопроект уже есть положительный отзыв правительства и отзыв Верховного суда. Более того, он написан по поручению президента, так что сомнений в том, что он будет одобрен, очень мало.
Концептуальное новшество законопроекта в новом объекте посягательства — базах данных. Они определены как «компьютерная информация, содержащая персональные данные, полученная путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем».
С учетом общественной опасности подобных деяний авторы предлагают отнести их к категории не ниже средней тяжести в новой статье УК 272' (штрих), отделив от составов преступлений по административной статье КоАП 13.11 («Нарушение законодательства в области персональных данных»). Сейчас максимальная санкция последней не связана с лишением свободы, а только с административными штрафами (для физлиц до 100 тысяч рублей, для юрлиц — до 18 млн рублей за повторные нарушения).
Новая уголовная статья будет намного суровее — даже за незаконное использование, сбор и хранение баз, не содержащих специальных категорий личных данных, грозит штраф до 300 тысяч рублей и лишение свободы на срок до четырех лет. По максимуму (если база содержит специальные категории данных и передана группой лиц из России за границу) преступникам грозит до 10 лет.
Что это значит
Законопроект обоснован и позиционируется как антихакерский. В пояснительной записке приведена статистика резкого роста преступлений с использованием «информационно-телекоммуникационных технологий», ущерба от утечек личных данных россиян (8 млрд рублей в 2022 году) и упомянут даркнет.
Фактически он позволяет жестко преследовать журналистов, занимающихся OSINT-расследованиями, замечает «Агентство» (признано в России иноагентом). Если законопроект примут, то он может коснуться любого, кто работает с компьютерной информацией, содержащей персональные данные, полученные неправомерным доступом. К примеру, пишет ресурс, наказание будет грозить журналисту, узнавшему из украденной базы «Яндекс.Еды», что некий чиновник заказывал пиццу на адрес, где официально не проживает, — а значит, у него можно заподозрить незаконно нажитую недвижимость.
Что еще
Отдельно те же депутаты и сенаторы внесли поправки в статью КоАП 13.11, многократно увеличивающие штрафы по ней. Минимум для физлиц предложено поднять с 2 тысяч рублей до 10 тысяч рублей, максимум до 500–800 тысяч рублей. Юрлицам за повторные нарушения по максимуму грозит уже оборотный штраф до 3%, но не более 500 млн рублей.
В законодательство впервые вводятся градации тяжести утечек по количеству скомпрометированных записей и идентификаторов персональных данных, причем запись приравнена к 10 идентификаторам. Это соответственно до 100 тысяч идентификаторов (до 10 тысяч записей), 100 тысяч — 1 млн и свыше миллиона. Наказание для юрлица (без признаков уголовного преступления) будет до 5 млн, 10 млн и 15 млн рублей.
Особенно примечательно, что авторы практически снимают ответственность за утечки с госорганов. В самых жестких пунктах статьи они предлагают считать юрлицом только «юридическое лицо, не являющееся государственным или муниципальным органом, государственным или муниципальным учреждением».