bizfinds@mail.ru
Борьба с агрегаторами утечек персональных данных в свете законопроекта о привлечении к уголовной ответственности
Предисловие
В настоящее время особой популярностью в русскоязычном сегменте интернета пользуется такое направление деятельности как OSINT (open source intelligence) — разведка на основе открытых источников данных. Суть применения OSINT заключается в том, что аналитическая задача решается путем сбора, обработки и анализа данных, собранных из открытых источников.
OSINT-аналитики работают с различными категориями данных, в том числе некоторые аналитики в рамках проведения исследований прибегают к использованию агрегаторов утечек персональных данных, по типу системы «Глаз бога» или других аналогичных систем. Это бывает полезно при идентификации киберпреступников, мошенников, а также других лиц, совершающих противоправные действия. При этом доступ к таким системам за не большую плату может получить любой желающий, включая тех же самых мошенников.
Для борьбы с агрегаторами утечек персональных данных в Государственную Думу Российской Федерации был внесен законопроект от 04.12.2024 № 502113-8 О внесении изменений в Уголовный кодекс Российской Федерации (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные).
В частности, законодатели предлагают дополнить УК РФ статьей 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».
Об этом и иных юридических тонкостях законодательства в области персональных данных поговорили с руководителем практики юридической фирмы Orlova\Ermolenko, членом «Ассоциации российских специалистов по защите данных» — Ангелиной Балакиной.
OSINT-аналитики работают с различными категориями данных, в том числе некоторые аналитики в рамках проведения исследований прибегают к использованию агрегаторов утечек персональных данных, по типу системы «Глаз бога» или других аналогичных систем. Это бывает полезно при идентификации киберпреступников, мошенников, а также других лиц, совершающих противоправные действия. При этом доступ к таким системам за не большую плату может получить любой желающий, включая тех же самых мошенников.
Для борьбы с агрегаторами утечек персональных данных в Государственную Думу Российской Федерации был внесен законопроект от 04.12.2024 № 502113-8 О внесении изменений в Уголовный кодекс Российской Федерации (в части установления ответственности за незаконные использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные).
В частности, законодатели предлагают дополнить УК РФ статьей 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения».
Об этом и иных юридических тонкостях законодательства в области персональных данных поговорили с руководителем практики юридической фирмы Orlova\Ermolenko, членом «Ассоциации российских специалистов по защите данных» — Ангелиной Балакиной.
Ангелина является экспертом в области персональных данных, более 7 лет успешно консультирует российских и иностранных клиентов в области privacy по вопросам проведения комплексных комплаенс проверок, сопровождения деятельности компании от создания документов и настройки бизнес-процессов до подготовки к проверкам Роскомнадзора. Лично рекомендована рейтингом «Право-300» в номинациях: «Защита персональных данных», «Корпоративное право/ слияния и поглощения».
Вопрос: «Ангелина, спасибо большое, что согласились ответить на несколько вопросов относительно нового законопроекта. И все же, зачем нужна новая законодательная норма? Неужели сейчас законом не установлена ответственность за незаконное использование персональных данных? Есть же статья УК РФ 137 «Нарушение неприкосновенности частной жизни» и ряд других статей.»
Ответ:
«Цифровая трансформация открывает новые возможности сбора, передачи, хранения и распространения информации, идентифицирующей человека как субъекта персональных данных. Внедрение новых информационных технологий, приложений и интеллектуальных устройств позволяет операторам собирать и связывать друг с другом огромные объемы персональных данных. В этой связи, современные технологии создают возможности для сознательного или неосознанного нарушения права на неприкосновенность частной жизни.
Персональные данные в эпоху цифровой трансформации часто называют «новая нефть».
В России новая нефть приобретает особо значение и законодательство в этой сфере активно развивается. Инциденты последних нескольких лет по массовой утечке персональных данных (например, Delivery Club, Яндекс еда, Гемотест) показали насколько опасной для сохранения неприкосновенности частной жизни может быть неправомерная деятельность оператора при отсутствии надлежащих инструментов правового регулирования защиты персональных данных. За последние три года произошли значительные изменения в законодательном регулировании персональных данных, значительно ужесточилась административная ответственность. Вместе с тем, уголовная ответственность за незаконный оборот персональных данных до настоящего времени не была установлена в УК РФ.
В связи с этим законопроектом предусмотрен специальный объект преступного посягательства — компьютерная информация, содержащая персональные данные, полученная путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
Для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем. Это позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений.
«Цифровая трансформация открывает новые возможности сбора, передачи, хранения и распространения информации, идентифицирующей человека как субъекта персональных данных. Внедрение новых информационных технологий, приложений и интеллектуальных устройств позволяет операторам собирать и связывать друг с другом огромные объемы персональных данных. В этой связи, современные технологии создают возможности для сознательного или неосознанного нарушения права на неприкосновенность частной жизни.
Персональные данные в эпоху цифровой трансформации часто называют «новая нефть».
В России новая нефть приобретает особо значение и законодательство в этой сфере активно развивается. Инциденты последних нескольких лет по массовой утечке персональных данных (например, Delivery Club, Яндекс еда, Гемотест) показали насколько опасной для сохранения неприкосновенности частной жизни может быть неправомерная деятельность оператора при отсутствии надлежащих инструментов правового регулирования защиты персональных данных. За последние три года произошли значительные изменения в законодательном регулировании персональных данных, значительно ужесточилась административная ответственность. Вместе с тем, уголовная ответственность за незаконный оборот персональных данных до настоящего времени не была установлена в УК РФ.
В связи с этим законопроектом предусмотрен специальный объект преступного посягательства — компьютерная информация, содержащая персональные данные, полученная путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
Для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), который содержит персональные данные, полученные незаконным путем. Это позволяет разграничивать новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений.
Таким образом, введение новой статьи УК РФ направлено на внедрение нового состава преступления ранее не предусмотренного действующим законодательством, с отличным предметом и объективной стороной преступления, а именно — уголовная ответственность для киберпреступников, которые незаконно собирают, хранят, используют и (или) передают компьютерную информацию, содержащую персональные данные, полученные путем неправомерного доступа к средствам хранения, обработки или передачи компьютерной информации или с использованием иных незаконных способов.
По мнению законодателя принятие законопроекта позволит эффективно привлекать к уголовной ответственности злоумышленников за незаконный оборот персональных данных, а также реализует превентивные механизмы уголовного права, что позволит предотвратить массовые утечки в данной сфере. Кроме того, законопроект позволит обеспечить справедливое рассмотрение правоохранительными органами заявлений от граждан, считающих себя потерпевшими от действий преступников, которые незаконно распоряжаются их персональными данными.»
Вопрос: «Проектом закона предусматривается добавление в УК РФ статьи 272.1 «Незаконные использование и(или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконного хранения и (или) распространения». Учитывая формулировку возникает вопрос: «Какие критерии определяют незаконность сбора и использования персональных данных?»
Ответ:
«Объективная сторона состава преступления, предусмотренного ст. 272.1 УК РФ, а именно «незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение», связана с дефиницией обработки персональных данных, которой является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
Статья 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» закрепляет основные принципы обработки персональных данных, которые сводятся к ее осуществлению на законной и справедливой основе, ограничению достижением конкретных, заранее определенных и законных целей, а также вытекающим из данных принципов требованиям.
Статьей 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» предусмотрены условия обработки персональных данных, а именно определены случаи (цели), в которых она допустима (например, для достижения целей, предусмотренных международным договором Российской Федерации или законом, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно и иные).»
«Объективная сторона состава преступления, предусмотренного ст. 272.1 УК РФ, а именно «незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение», связана с дефиницией обработки персональных данных, которой является любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»).
Статья 5 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» закрепляет основные принципы обработки персональных данных, которые сводятся к ее осуществлению на законной и справедливой основе, ограничению достижением конкретных, заранее определенных и законных целей, а также вытекающим из данных принципов требованиям.
Статьей 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» предусмотрены условия обработки персональных данных, а именно определены случаи (цели), в которых она допустима (например, для достижения целей, предусмотренных международным договором Российской Федерации или законом, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно и иные).»
Фактически незаконность обработки персональных данных, в том числе их сбора и использования, предполагает их осуществление в нарушение принципов и условий, предусмотренных ст. ст. 5 и 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» — например, осуществление без согласия субъекта персональных данных, с нарушением правил их хранения или в отсутствие иных обстоятельств, предусмотренных действующим законодательством.
Вопрос: «Относительно сбора персональных данных хотелось бы уточнить следующий момент. Многие пользователи размещают информацию, в т.ч., попадающую под категорию персональных данных, в социальных сетях и на других сайтах. Например, на сайте каждого ВУЗа есть список преподавателей, содержащий их фотографии, ФИО, даты рождения и детали биографии. По сути, в этом случае персональные данные можно найти в открытых источниках данных общедоступными методами. Будет ли считаться незаконным сбор такой информации и подпадают ли данные деяния под действие новой статьи УК РФ?»
Ответ:
«Статьей 8 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» урегулировано понятие общедоступных источников персональных данных, согласно которой в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
«Статьей 8 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» урегулировано понятие общедоступных источников персональных данных, согласно которой в целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.
Вместе с тем, сам факт размещения персональных данных в открытых источниках, в том числе на сайте ВУЗа, не свидетельствует об их автоматической общедоступности, а соответственно, их обработка должна осуществляться с соблюдением требований, предусмотренных законодательством о персональных данных.
Однако для квалификации деяния в качестве преступления, попадающего под состав новой ст. 272.1 УК РФ, помимо незаконного использования и(или) передачи (распространения, предоставления, доступа), сбора и (или) хранения компьютерной информации, содержащей персональные данные, необходимо, чтобы указанная информация была получена путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем.
Исходя из Методических рекомендаций по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, неправомерный доступ к компьютерной информации – это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации. При этом под доступом понимается проникновение в ее источник с использованием средств (вещественных и интеллектуальных) компьютерной техники, позволяющее использовать полученную информацию (копировать, модифицировать, блокировать либо уничтожать ее).»
Исходя из Методических рекомендаций по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации, неправомерный доступ к компьютерной информации – это незаконное либо не разрешенное собственником или иным ее законным владельцем использование возможности получения компьютерной информации. При этом под доступом понимается проникновение в ее источник с использованием средств (вещественных и интеллектуальных) компьютерной техники, позволяющее использовать полученную информацию (копировать, модифицировать, блокировать либо уничтожать ее).»
Как следствие, квалифицировать сбор информации, полученной из открытых источников, при условии отсутствия неправомерного доступа в качестве уголовно наказуемого деяния нельзя, как следствие, привлечение к уголовной ответственности по ст. 271.1 УК РФ не допустимо.
Вопрос: «В продолжение вопроса № 3 хотелось бы уточнить, являются ли персональными данными такие категории данных как ссылки на профили в социальных сетях в привязке к ФИО или номеру телефона человека? Например, ФИО + ссылка на аккаунт в социальной сети «ВКонтакте» или номер телефона + никнейм или ID в Telegram (ID – индивидуальный идентификатор в социальной сети, который присваивается каждому отдельному пользователю).»
Ответ:
«Исходя из ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация[1].
Дефиниция персональных данных также закреплена в ст. 4(1) Общего регламента по защите данных (General Data Protection Regulation, GDPR; Постановление 2016/679), согласно которой персональные данные означают «любую информацию, связанную с определенным или определяемым физическим лицом («субъектом данных»); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической, культурной или социальной идентичности».
Данные ID пользователя (уникальный идентификатор активного пользователя), cookie-файлы и сведения о трафике такого пользователя, используемые для составления профайлов в целях распространения таргетированной рекламы, в практике Роскомнадзора и судебной практике[2] также относят к персональным данным.»
«Исходя из ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных): фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, иная информация[1].
Дефиниция персональных данных также закреплена в ст. 4(1) Общего регламента по защите данных (General Data Protection Regulation, GDPR; Постановление 2016/679), согласно которой персональные данные означают «любую информацию, связанную с определенным или определяемым физическим лицом («субъектом данных»); лицо признается определяемым, если оно может быть определено прямо или косвенно, в частности, посредством ссылки на идентификаторы, такие как его имя, идентификационный номер, данные о местоположении, онлайн-идентификатор либо один или несколько факторов, характерных для его физической или физиологической, ментальной, экономической, культурной или социальной идентичности».
Данные ID пользователя (уникальный идентификатор активного пользователя), cookie-файлы и сведения о трафике такого пользователя, используемые для составления профайлов в целях распространения таргетированной рекламы, в практике Роскомнадзора и судебной практике[2] также относят к персональным данным.»
Из указанного определения позиции Роскомнадзора последние пару лет, озвученной
на круглых столах следует, что онлайн-идентификаторы также могут быть отнесены
к категории персональных данных, поскольку в любом случае являются информацией, относящейся к прямо или косвенно определенному или определяемому физическому лицу.
на круглых столах следует, что онлайн-идентификаторы также могут быть отнесены
к категории персональных данных, поскольку в любом случае являются информацией, относящейся к прямо или косвенно определенному или определяемому физическому лицу.
Вопрос: «Пунктом 1 новой статьи 2721 определяется, что речь идет о незаконном использовании, передаче, сборе, хранении компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем. Учитывая формулировку возникает несколько вопросов:
- Под неправомерным доступом обычно понимают незаконное либо не разрешенное собственником или иным её законным владельцем использование возможности получения компьютерной информации. Если рассмотреть ситуацию с агрегаторами утечек персональных данных, то получается, что они аккумулируют информацию, полученную путем неправомерного доступа, но другими людьми. Утечки персональных данных свободно публикуются в интернете, иногда сайты, где они размещены даже не блокирует РКН. Правильно ли я понимаю, что пользователь такого агрегатора в соответствии с новой статьей будет попадать под уголовное наказание?
- В продолжение предыдущего вопроса, а если пользователь скачал утечку данных себе на компьютер, при этом сама утечка размещена, например, в облачном хранилище на «Яндекс Диске», это будет попадать под уголовное наказание?
- Правильно ли я понимаю, что составом преступления по данной статье может быть признан сам факт использования такого агрегатора (получение от него сведений), а не использование полученной информации?»
Ответ:
«В случае если совершаемые действия направлены на хранение и сбор компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа, что фактически предполагает под собой пользование агрегатором утечек персональных данных, а также скачивание утечки персональных данных из облачного хранилища, данные действия могут попадать под уголовное наказание.
«В случае если совершаемые действия направлены на хранение и сбор компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа, что фактически предполагает под собой пользование агрегатором утечек персональных данных, а также скачивание утечки персональных данных из облачного хранилища, данные действия могут попадать под уголовное наказание.
В текущей редакции к уголовной ответственности могут быть привлечены любые агрегаторы пользовательских данных, а формулировку «персональные данные, полученные незаконно» можно трактовать крайне широко. Как следствие поправки позволяют привлечь к уголовной ответственности практически любого агрегатора пользовательских данных, владельца сайта, ИИ-разработчика.
Однако важное значение имеет примечание к ст. 272.1, в котором указано, что ее действие не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд, что, соответственно, должно быть учтено при квалификации деяния в качестве уголовно наказуемого.»
Вопрос: «Считается ли незаконным получение (сбор) персональных данных из открытых источников данных, если есть ссылка на советующий сайт или информационную систему откуда эти данные получены (где они опубликованы), применительно к новой статье УК РФ?»
Ответ:
«Как отмечалось ранее, незаконность обработки персональных данных, в том числе их получения (сбора), сводится к ее осуществлению в нарушение принципов и условий, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
«Как отмечалось ранее, незаконность обработки персональных данных, в том числе их получения (сбора), сводится к ее осуществлению в нарушение принципов и условий, предусмотренных Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных».
По нашему мнению, незаконное получение (сбор) персональных данных из открытых источников данных, если есть ссылка на советующий сайт или информационную систему откуда эти данные получены (где они опубликованы) не может быть квалифицировано как преступление в свете новой статьи УК РФ в отсутствии состава и причинно-следственной связи. Однако в отсутствии судебной практики и официальной позиции правоохранительных органов не исключено, что на практике данные действия могут быть истолкованы иначе.
Вопрос: «Пунктом 2 новой статьи 2721 определяется, что то же деяние, может быть совершенно в отношении компьютерной информации, содержащей специальные категории персональных данных. О каких категориях идет речь?»
Ответ:
Специальные категории персональных данных закреплены в ст. 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», к ним относятся данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
«Закрепленный в статье перечень является закрытым, однако в случае если в результате обработки обычных категорий персональных данных появляются сведения, которые попадаются под специальную категорию, то указанные данные должны обрабатываться по соответствующим правилам.
Зачастую такие данные также именуются «чувствительными». Особое регулирование таких данных обусловлено презумпцией возможного наступления особо негативных последствий для субъекта при их разглашении или ином несанкционированном использовании. Такие последствия могут выражаться не только в рисках для жизни и здоровья лица, но и в дискриминации, невозможности реализации базовых конституционных прав на труд, образование, свободу совести, передвижение и прочее.»
Зачастую такие данные также именуются «чувствительными». Особое регулирование таких данных обусловлено презумпцией возможного наступления особо негативных последствий для субъекта при их разглашении или ином несанкционированном использовании. Такие последствия могут выражаться не только в рисках для жизни и здоровья лица, но и в дискриминации, невозможности реализации базовых конституционных прав на труд, образование, свободу совести, передвижение и прочее.»
Вопрос: «Пунктом 3 новой статьи 272.1 определяются отягчающие обстоятельства, одним из которых является причинение крупного ущерба. Как на практике использование персональных данных может привести к причинению крупного ущерба?»
Ответ:
Исходя из примечаний к ст. 272 УК РФ крупным ущербом в статьях настоящей главы (глава 28. Преступления в сфере компьютерной информации) признается ущерб, сумма которого превышает один миллион рублей. Одна из наиболее распространенных тенденций на сегодняшний день – это использование персональных данных для осуществления мошеннических действий, связанных с банковскими картами и платежами, а также оформлением займов в следствии незаконного оборота персональных данных.
Вопрос: «В примечании 1 к новой статье 272.1 указано, что «Действие настоящей статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд». Что подразумевается под личными и семейными нуждами? Как можно доказать, что обработка персональных данных велась для личных или семейных нужд?»
Ответ:
«Понятие личных и семейных нужд прямо не конкретизировано в Законе о персональных данных, однако находит свое отражение в гражданском законодательстве и в Законе РФ от 07.02.1992 г. № 2300-1 «О защите прав потребителей», исходя из которого потребителем является гражданин, имеющий намерение заказать или приобрести либо заказывающий, приобретающий или использующий товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.
При этом под предпринимательской деятельностью понимается самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке (п. 1 ст. 2 ГК РФ).»
«Понятие личных и семейных нужд прямо не конкретизировано в Законе о персональных данных, однако находит свое отражение в гражданском законодательстве и в Законе РФ от 07.02.1992 г. № 2300-1 «О защите прав потребителей», исходя из которого потребителем является гражданин, имеющий намерение заказать или приобрести либо заказывающий, приобретающий или использующий товары (работы, услуги) исключительно для личных, семейных, домашних и иных нужд, не связанных с осуществлением предпринимательской деятельности.
При этом под предпринимательской деятельностью понимается самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг лицами, зарегистрированными в этом качестве в установленном законом порядке (п. 1 ст. 2 ГК РФ).»
Таким образом, если процесс обработки персональных данных физическим лицом направлен на осуществление предпринимательской деятельности, он не охватывается понятием «личных» и «семейных» нужд и подпадает под действие Закона о персональных данных. Как следствие, доказывание ведения обработки персональных данных для личных или семейных нужд определяется отсутствием извлечения прибыли из данного процесса.
Вопрос: «В примечании 3 к новой статье 272.1 указано, что тяжкими последствиями являются различные деяния, преследующие целью причинение вреда жизни, здоровью, имуществу, правам и законным интересам человека и гражданина, ущерба обороне и (или) безопасности государства, охране правопорядка и иным охраняемым федеральными законами ценностям. Учитывая формулировку возникает несколько вопросов:
Как можно доказать цель использования персональных данных?»
Как можно доказать цель использования персональных данных?»
Ответ:
«Разработчик законопроекта не регламентировал предмет доказывания, поэтому на практике с этим могут быть значительные сложности.»
«Разработчик законопроекта не регламентировал предмет доказывания, поэтому на практике с этим могут быть значительные сложности.»
Вопрос: «Что подразумевается под причинением вреда правам и законным интересам человека и гражданина? Можете привести какой-нибудь пример из практики?»
Ответ:
«Фактически речь идет о любом вреде, причиненном правам и законным интересам человека и гражданина, который, как указано в статье, может быть выражен, в причинении вреда жизни, здоровью, имуществу – любом материальном ущербе или моральном вреде и прочее.»
«Фактически речь идет о любом вреде, причиненном правам и законным интересам человека и гражданина, который, как указано в статье, может быть выражен, в причинении вреда жизни, здоровью, имуществу – любом материальном ущербе или моральном вреде и прочее.»
Вопрос: «По вашему мнению будет ли распространяться действие данной статьи на персональные данные иностранных граждан?»
Ответ:
«Пунктом 1 ст. 4 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» предусмотрено, что законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»). При этом понятие субъекта персональных данных, кроме как с точки зрения его определения как физического лица, в законе не конкретизировано.
Статьей 62 Конституции Российской Федерации предусмотрено, что иностранные граждане и лица без гражданства пользуются в Российской Федерации правами и несут обязанности наравне с гражданами Российской Федерации, кроме случаев, установленных федеральным законом или международным договором Российской Федерации.
В соответствии со ст. 4 Федерального закона от 25.07.2002 г. № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации» иностранные граждане пользуются в Российской Федерации правами и несут обязанности наравне с гражданами Российской Федерации, за исключением случаев, предусмотренных федеральным законом.»
«Пунктом 1 ст. 4 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» предусмотрено, что законодательство Российской Федерации в области персональных данных основывается на Конституции Российской Федерации и международных договорах Российской Федерации и состоит из настоящего Федерального закона и других определяющих случаи и особенности обработки персональных данных федеральных законов.
Под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»). При этом понятие субъекта персональных данных, кроме как с точки зрения его определения как физического лица, в законе не конкретизировано.
Статьей 62 Конституции Российской Федерации предусмотрено, что иностранные граждане и лица без гражданства пользуются в Российской Федерации правами и несут обязанности наравне с гражданами Российской Федерации, кроме случаев, установленных федеральным законом или международным договором Российской Федерации.
В соответствии со ст. 4 Федерального закона от 25.07.2002 г. № 115-ФЗ «О правовом положении иностранных граждан в Российской Федерации» иностранные граждане пользуются в Российской Федерации правами и несут обязанности наравне с гражданами Российской Федерации, за исключением случаев, предусмотренных федеральным законом.»
Таким образом, поскольку Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» не связывает определение понятия субъекта персональных данных с наличием
у него статуса гражданина Российской Федерации, а лишь идентифицирует в качестве физического лица, в том числе с учетом описанного выше распространения национального режима, действие статьи ст. 272.1 УК РФ может распространяться на персональные данные иностранных граждан.
у него статуса гражданина Российской Федерации, а лишь идентифицирует в качестве физического лица, в том числе с учетом описанного выше распространения национального режима, действие статьи ст. 272.1 УК РФ может распространяться на персональные данные иностранных граждан.
Вопрос: «Если данный законопроект будет принят и изменения будут внесены в УК РФ, то по каким признакам будут отличать незаконно полученные персональные данные от законных? Например, у любой компании есть база данных клиентов, без особых усилий компания может обогатить данные о клиентах с помощью агрегаторов утечек персональных данных. Как в этом случае правоохранители смогут подтвердить незаконность получения данных о клиентах?»
Данный вопрос наиболее остро стоит при обсуждении законопроекта
в профессиональном сообществе, поскольку четкие признаки/критерии незаконности получения персональных данных отсутствуют. В данном случае правоохранительные органы будут самостоятельно и скорее расширительно толковать данный термин. По всей видимости правоохранители будут запрашивать источник получения персональных данных и подтверждающие документы (например, согласия субъектов на обработку
и передачу персональных данных третьим лицам, поручения на обработку персональных данных третьими лицами и т. д.). В отсутствии информации и документов, подтверждающих законность получения данных о клиентах, правоохранители
«от обратного» могут квалифицировать действия компании как незаконные.
в профессиональном сообществе, поскольку четкие признаки/критерии незаконности получения персональных данных отсутствуют. В данном случае правоохранительные органы будут самостоятельно и скорее расширительно толковать данный термин. По всей видимости правоохранители будут запрашивать источник получения персональных данных и подтверждающие документы (например, согласия субъектов на обработку
и передачу персональных данных третьим лицам, поручения на обработку персональных данных третьими лицами и т. д.). В отсутствии информации и документов, подтверждающих законность получения данных о клиентах, правоохранители
«от обратного» могут квалифицировать действия компании как незаконные.
Вопрос: «Если компания является оператором персональных данных, она может
на законных основаниях собирать и использовать утечки данных?»
на законных основаниях собирать и использовать утечки данных?»
Ответ:
«Фактически компания не может на законных основаниях собирать и использовать утечки данных, поскольку сбор и использование утечек данных операторами противоречит принципам, условиям и обязанностям оператора при сборе персональных данных.»
«Фактически компания не может на законных основаниях собирать и использовать утечки данных, поскольку сбор и использование утечек данных операторами противоречит принципам, условиям и обязанностям оператора при сборе персональных данных.»
Вопрос: «Часто ли в рамках судебной практики применяются доказательства, полученные из открытых источников данных, в частности персональные данные?»
Ответ:
«Действующее процессуальное законодательство уже при подаче искового заявления обязывает истца предоставлять сведения об ответчике, входящие в категорию персональных данных — для гражданина — фамилия, имя, отчество (при наличии), дата
и место рождения, место жительства или место пребывания, место работы (если известно), один из идентификаторов (ст. 131 ГПК РФ, ст. 125 АПК РФ).
Вместе с тем, ст. 6 Закона о персональных данных допускает обработку персональных данных в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.»
«Действующее процессуальное законодательство уже при подаче искового заявления обязывает истца предоставлять сведения об ответчике, входящие в категорию персональных данных — для гражданина — фамилия, имя, отчество (при наличии), дата
и место рождения, место жительства или место пребывания, место работы (если известно), один из идентификаторов (ст. 131 ГПК РФ, ст. 125 АПК РФ).
Вместе с тем, ст. 6 Закона о персональных данных допускает обработку персональных данных в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах.»
Соответственно, представление в суд разного рода документов, содержащих персональные данные граждан, в качестве доказательств возможно без получения на то их согласия и является частой практикой. Например, при поиске персональных данных ответчика для подачи иска, в делах о банкротстве для доказывания аффилированности сторон (например, предоставление данных из социальных сетей, агрегаторов по типу «Глаза Бога»), в семейных, наследственных и трудовых спорах.
Вопрос: «Как и чем регламентируется управление персональными данными умерших людей? Кто может дать согласие или отозвать согласие на использование персональных данных умершего человека?»
Ответ:
«Так как под определение персональных данных попадает любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в указанную категорию в том числе входят данные, касающиеся умершего человека.
Согласно ч. 7 ст. 9 Закона о персональных данных в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Материалы судебной практики демонстрируют актуальность вопроса об обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев организация на основании достигнутых с медицинскими учреждениями договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ к персональным данным умерших и их родственников, что дает ей возможность в первоочередном порядке предлагать свои услуги родственникам умерших. И хотя судами данная ситуация рассматривается преимущественно через призму законодательства о защите конкуренции (см. Постановления Семнадцатого арбитражного апелляционного суда от 28 августа 2014 г. по делу N А50-2319/2014, Федерального арбитражного суда Уральского округа от 26 марта 2013 г. по делу N А60-25035/2012; решения Арбитражного суда Республики Бурятия от 29 декабря 2014 г. по делу N А10-4767/2014, Арбитражного суда Свердловской области от 26 декабря 2013 г. по делу N А60-22167/2013), она неплохо иллюстрирует возможную ценность персональных данных умерших лиц и возможное их использование для вторжения в личную сферу родственников умершего и причинения им моральных страданий.
В судебной практике встречаются также случаи взыскания наследниками морального вреда за факт незаконного размещения третьими лицами персональных данных умершего в социальных сетях (Постановление Президиума Верховного суда Республики Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018). При этом сам факт получения таких данных из общедоступных источников, например с надгробий захоронений на кладбище, не имеет значения (Решение Обнинского городского суда Калужской области от 24 декабря 2020 г. по делу N 2-1238/20).»
«Так как под определение персональных данных попадает любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в указанную категорию в том числе входят данные, касающиеся умершего человека.
Согласно ч. 7 ст. 9 Закона о персональных данных в случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
Материалы судебной практики демонстрируют актуальность вопроса об обеспечении надлежащей защиты персональных данных умерших лиц. В ряде случаев организация на основании достигнутых с медицинскими учреждениями договоренностей на безвозмездную перевозку тел умерших получает приоритетный доступ к персональным данным умерших и их родственников, что дает ей возможность в первоочередном порядке предлагать свои услуги родственникам умерших. И хотя судами данная ситуация рассматривается преимущественно через призму законодательства о защите конкуренции (см. Постановления Семнадцатого арбитражного апелляционного суда от 28 августа 2014 г. по делу N А50-2319/2014, Федерального арбитражного суда Уральского округа от 26 марта 2013 г. по делу N А60-25035/2012; решения Арбитражного суда Республики Бурятия от 29 декабря 2014 г. по делу N А10-4767/2014, Арбитражного суда Свердловской области от 26 декабря 2013 г. по делу N А60-22167/2013), она неплохо иллюстрирует возможную ценность персональных данных умерших лиц и возможное их использование для вторжения в личную сферу родственников умершего и причинения им моральных страданий.
В судебной практике встречаются также случаи взыскания наследниками морального вреда за факт незаконного размещения третьими лицами персональных данных умершего в социальных сетях (Постановление Президиума Верховного суда Республики Башкортостан от 8 августа 2018 г. по делу N 44Г-300/2018). При этом сам факт получения таких данных из общедоступных источников, например с надгробий захоронений на кладбище, не имеет значения (Решение Обнинского городского суда Калужской области от 24 декабря 2020 г. по делу N 2-1238/20).»
Вопрос: «Если позволите, то хотелось бы спросить Ваше личное мнение. Поможет ли данная инициатива пресечь незаконный сбор, обработку, хранение и распространение доступа к персональным данным?»
Ответ:
«Рассматриваемый законопроект породил уже массу дискуссий в privacy сообществах. Инициатива действительно направлена на пресечение незаконного оборота персональными данными, однако юридическая техника разработанного законопроекта имеет значительные недостатки и выглядит «сырой» с точки зрения как понятийного аппарата, который можно трактовать расширенно (например, «трансграничная передача компьютерной информации», «обеспечение функционирования информационных ресурсов»,«… с целью причинения вреда жизни, здоровью, имуществу..»), так и прогнозируемой на практике конкуренции новой статьи 272.1 УК РФ с административной ответственностью, установленною в ст. 13.11 КоАП РФ, в том числе в части утечек персональных данных. Принятие законопроекта в текущей версии к расширительному толкованию приведенной в его тексте терминологии и, как следствие, безосновательному искусственному увеличению количества случаев применения данной нормы и массовому привлечению разных субъектов на практике.»
«Рассматриваемый законопроект породил уже массу дискуссий в privacy сообществах. Инициатива действительно направлена на пресечение незаконного оборота персональными данными, однако юридическая техника разработанного законопроекта имеет значительные недостатки и выглядит «сырой» с точки зрения как понятийного аппарата, который можно трактовать расширенно (например, «трансграничная передача компьютерной информации», «обеспечение функционирования информационных ресурсов»,«… с целью причинения вреда жизни, здоровью, имуществу..»), так и прогнозируемой на практике конкуренции новой статьи 272.1 УК РФ с административной ответственностью, установленною в ст. 13.11 КоАП РФ, в том числе в части утечек персональных данных. Принятие законопроекта в текущей версии к расширительному толкованию приведенной в его тексте терминологии и, как следствие, безосновательному искусственному увеличению количества случаев применения данной нормы и массовому привлечению разных субъектов на практике.»
Некоторые нормативные ссылки:
[1] См.: пункты 2.5-2.7 Приказа Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения», п. 1 ст. 3 Закона о персональных данных.
[2] См.: Постановление Тринадцатого апелляционного арбитражного суда от 01.07.2016 г. по делу № А56-6698/2016; Решение Арбитражного суда г. Москвы от 29.03.2016 г. по делу № А40-14900/2016-94-126. Аналогичная позиция отражена в Решении Арбитражного суда
г. Москвы от 11.03.2016 г. по делу № А40-14902/2016-84-126; Определение Московского городского суда от 10.11.2016 г. по делу № 33-38783/16.
[1] См.: пункты 2.5-2.7 Приказа Роскомнадзора от 30.05.2017 г. № 94 «Об утверждении методических рекомендаций по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения», п. 1 ст. 3 Закона о персональных данных.
[2] См.: Постановление Тринадцатого апелляционного арбитражного суда от 01.07.2016 г. по делу № А56-6698/2016; Решение Арбитражного суда г. Москвы от 29.03.2016 г. по делу № А40-14900/2016-94-126. Аналогичная позиция отражена в Решении Арбитражного суда
г. Москвы от 11.03.2016 г. по делу № А40-14902/2016-84-126; Определение Московского городского суда от 10.11.2016 г. по делу № 33-38783/16.