− 
 − 

ОБЩЕСТВЕННО ОПАСНЫЕ ПОСЯГАТЕЛЬСТВА НА ПЕРСОНАЛЬНЫЕ ДАННЫЕ КАК ОСНОВАНИЕ КРИМИНАЛИЗАЦИИ

SOCIALLY DANGEROUS ENCROACHMENT ON PERSONAL DATA AS THE BASIS OF CRIMINALIZATION

ВАБИЩЕВИЧ В.В.,

аспирант кафедры уголовного права Белорусского государственного университета

 

В статье детально рассмотрены положения проекта Закона Республики Беларусь «О персональных данных» и предлагается предусмотреть в национальном законодательстве уголовную ответственность за посягательства на них. С учетом проведенного исследования предлагаются меры по дальнейшему совершенствованию действующего законодательства.

 

The article considers in detail the provisions of the draft law of the Republic of Belarus «On personal data» and proposes to provide for criminal liability for encroachment on them in the national legislation. Taking into account the conducted research, measures for further improvement of the current legislation are proposed.

 

Пробел в исследовании проблем реализации норм права, обеспечивающих защиту персональных данных, может быть устранен путем введения эффективного правового регулирования отношений в сфере их оборота. Н.Г.Белгородцева отмечает, что нормативная правовая база и организация исследований проблем всех отраслей права, регулирующих отношения в области персональных данных, нуждаются в совершенствовании, «корректировке» многих имеющихся научных постулатов, локальных актов и разработке и введении новых. Проблемы могут быть решены в рамках серьезных научных исследований, на основе которых возможно создание отдельного закона, необходимость принятия которого продиктована срочным принятием мер, направленных на ужесточение законности по указанному направлению юриспруденции [1].

Некоторые исследователи констатируют, что отсутствие должного интереса к персональной информации со стороны различных областей права привело к размыванию сущностного смысла персональной информации как юридической категории [2]. Учитывая проводимую в Республике Беларусь цифровую трансформацию общественных отношений, сформировались все необходимые предпосылки для надлежащей правовой регламентации оборота персональных данных, их защиты, в том числе уголовно-правовой.

К таким предпосылкам относятся следующие обстоятельства:

• правовая защита персональных данных закреплена в статье 28 Конституции Республики Беларусь, согласно которой каждому гражданину гарантируется право на защиту от незаконного вмешательства в его личную жизнь, от посягательства на его честь и достоинство [3]. В данном случае необходимо отходить от узкого понимания личной жизни. А.Л.Кононов справедливо указывает на то, что «само лицо вправе определять, какие именно сведения имеют отношение к его частной жизни», а также называет среди таких информацию о принадлежности к общественным объединениям, здоровье, имуществе, доходах, профессиональной деятельности [4, с. 233]. А.Лушников рассматривает две категории информации, пересекающиеся по своему содержанию, отмечая, что «элементы частной жизни могут составлять персональные данные». Например, анкетные данные представляют собой персональную информацию, но не затрагивают частную жизнь [5];

• в Беларуси отсутствует единый специализированный нормативный правовой акт, регулирующий отношения, связанные со сбором, обработкой, распространением, предоставлением персональных данных. Республика Беларусь не ратифицировала Конвенцию Совета Европы «О защите частных лиц в отношении автоматизированной обработки данных личного характера» [6]. Все государства – участники Евразийского экономического союза в своей системе законодательства имеют специальные правовые акты, предмет регулирования которых непосредственно направлен на защиту персональной информации. Регулирование оборота персональных данных осуществляется рядом нормативных правовых актов, которые не охватывают все значимые вопросы и имеют некоторые противоречия;

• законодательство Республики Беларусь не содержит конкретных мер ответственности за посягательства на персональные данные. Например, в Уголовном кодексе Республики Беларусь (далее – УК) отсутствуют специальные составы, имеющие в качестве непосредственного объекта защиту персональных данных. Для сравнения отметим, что уголовная ответственность за сам факт хищения персональных данных предусмотрена в странах Европейского союза, Канаде, Японии, Китае и других государствах. Сегодня количество правонарушений, совершаемых с использованием персональных данных, возрастает. При этом эти правонарушения могут быть направлены на конкретную личность, группу лиц, конкурента при осуществлении предпринимательской деятельности, национальную безопасность.

Повсеместно наблюдается использование информации, содержащей данные о конкретном лице, например, в оперативно-разыскной деятельности, в финансовой и налоговой сферах, в сфере пенсионного, социального, медицинского страхования, в трудовых отношениях и других сферах общественной жизни. Столь широкое использование персональных данных может создавать угрозу нарушений прав человека [7].

Кроме хищения денежных средств, уголовная ответственность может наступать за несоблюдение операторами мер по надлежащей защите персональных данных, халатность должностных лиц оператора либо сговор со злоумышленниками. В случае отсутствия вредных материальных последствий (хищения имущества) может иметь место сам факт хищения персональных данных, который, по нашему мнению, в зависимости от масштабности должен быть преступно наказуемым.

Эксперты отмечают, что важной темой в сфере информационной безопасности стали персональные данные, которые являются одним из ценных и «желанных» товаров в мире информационных технологий – для разработчиков сервисов и приложений, для владельцев различных агентств и, конечно, для злоумышленников. Было отмечено, что не все пользователи осознают необходимость сохранности личной информации [9]. В Европейском союзе штрафы за посягательства на персональные данные достигают 20 миллионов евро согласно недавно принятому Общему регламенту защиты персональных данных (EU General Data Protection Regulation) [10].

Таким образом, бессистемное и неполное правовое регулирование сферы оборота персональных данных привело к отсутствию конкретных мер ответственности за посягательства на них. В этой связи возникают противоречия и неопределенности в практической деятельности правоохранительных органов в части квалификации деяний, связанных с посягательством на персональные данные. Для решения указанного противоречия, по нашему мнению, в первую очередь следует детально регламентировать оборот персональных данных, установить их исчерпывающее определение, предусмотреть обязанности субъектов персональных данных, а затем урегулировать вопрос о мерах ответственности за посягательства на персональные данные. Например, привлекая лицо к уголовной ответственности за разглашение коммерческой тайны (статья 255 УК), правоохранитель обращается к Закону Республики Беларусь от 5 января 2013 года «О коммерческой тайне», который четко регламентирует определение термина «коммерческая тайна», перечень сведений, охраняемых в режиме коммерческой тайны, порядок доступа к коммерческой тайне и другие значимые вопросы.

Инициатива по принятию в странах романо-германской правовой семьи специального законодательства в сфере защиты персональных данных принадлежат парламенту германской земли Гессен, принявшему в 1970 году соответствующий закон. Позднее такие законы появились в Швеции (1973 г.), Германии (1977 г.), Франции (1978 г.), Австрии (1978 г.). В настоящее время подобные законы действуют более чем в 40 странах [11].

В Республике Беларусь также ведется работа над проектом Закона «О персональных данных» (далее – проект закона, законопроект), который был вынесен на общественное обсуждение [12]. В статье 20 проекта закона установлено, что «лица, виновные в нарушении требований настоящего Закона, несут ответственность, предусмотренную законодательными актами».

С 29 октября 2018 г. действует новая редакция статьи 22.13 Кодекса Республики Беларусь об административных правонарушениях (далее – КоАП), согласно которой наложение штрафа в размере от четырех до двадцати базовых величин влечет умышленное разглашение коммерческой или иной охраняемой законом тайны без согласия ее владельца либо умышленное незаконное разглашение персональных данных лицом, которому коммерческая или иная охраняемая законом тайна либо персональные данные известны в связи с его профессиональной или служебной деятельностью, если в этих деяниях нет состава преступления.

Как видно, в КоАП уже введена статья, имеющая в качестве непосредственного объекта защиту от умышленного разглашения персональных данных лицом, которому известны эти данные в связи с его профессиональной или служебной деятельностью. Соответствующей корректировки после принятия Закона Республики Беларусь «О персональных данных» требует и уголовный закон. Далее будут рассмотрены те положения проекта закона, за нарушение которых может быть введена уголовная ответственность.

Для начала отметим, что предметом регулирования проекта закона являются отношения, связанные со сбором, обработкой, распространением, предоставлением персональных данных, осуществляемыми операторами с использованием средств автоматизации, а также без их использования, если при этом обеспечивается поиск персональных данных и (или) доступ к таким персональным данным по определенным критериям (картотеки, списки, базы данных и др.) (далее – оборот персональных данных). При этом правовое регулирование не будет распространяться на отношения, касающиеся:

• сбора, обработки, предоставления персональных данных физическими лицами в процессе исключительно личной или бытовой деятельности, не связанной с профессиональной или коммерческой деятельностью;

• сбора, обработки, распространения, предоставления персональных данных, отнесенных в порядке, установленном законодательством, к сведениям, составляющим государственные секреты, а также персональных данных в связи с осуществлением разведывательной и контрразведывательной деятельности.

Предлагаемые в законопроекте нормы, по нашему мнению, выведут из-под регулирования такие нарушения, как, например, сбор информации о соседях в личных целях, в том числе для совершения киберпреследования, сбор персональных данных сотрудником правоохранительного органа в ходе разведывательной деятельности для использования в личных целях.

Если учитывать, что в соответствии со статьей 4 законопроекта оборот персональных данных, по общему правилу, может осуществляться только с согласия субъекта персональных данных и в соответствии с целями, для которых был произведен сбор таких данных, то уголовная ответственность, при наличии значительного вреда общественным отношениям, может быть установлена за оборот персональных данных:

• без согласия их владельца;

• не в соответствии с целями, для которых был произведен сбор таких данных, или за их использование после достижения соответствующих целей;

• непринятие оператором мер по защите персональных данных от любых рисков, включая незаконное использование, распространение и удаление персональных данных, а также по обеспечению точности имеющихся персональных данных.

За подобные правонарушения в некоторых странах установлена уголовная ответственность, например, в Федеративной Республике Германии. В соответствии со статьей 44 Закона «О защите данных», который был принят в целях реализации Директивы Европейского союза № 95/46/EC от 24 октября 1995 г., преступными признаются умышленные либо неосторожные деяния лиц, которые:

• осуществляют незаконный сбор персональных данных, в том числе с использованием автоматизированных систем, а также путем обмана;

• получили в установленном порядке персональные данные для определенных целей, однако обрабатывают или используют эти персональные данные в других целях. Указанное правило распространяется также на лиц, которые при исполнении своих профессиональных или служебных обязанностей должны были обеспечить надлежащее хранение персональных данных и их целевое использование, а также в случае, когда персональные данные были собраны или сохранены для научных исследований;

• обрабатывают и используют персональные данные для целей рекламного или маркетингового исследования в случае, когда субъект, которому принадлежат персональные данные, заранее возразил против этого.

К уголовной ответственности за вышеперечисленные действия лица могут быть привлечены только в случае причинения вреда общественным отношениям либо с корыстными побуждениями, а также при наличии соответствующей жалобы, которая подается Федеральным уполномоченным по защите данных и свободе информации и контролирующими органами [13].

В Испании установлена уголовная ответственность за сбор и передачу персональных данных, раскрывающих идеологию, религию, убеждения, здоровье, расовое происхождение или сексуальную ориентацию субъекта, или если жертва является несовершеннолетним или инвалидом, в случае, когда вышеупомянутые действия совершены с корыстными побуждениями [14].

В законопроекте также выделен такой вид персональных данных, как специальные. К ним относятся персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, религиозных или других убеждений, здоровья или половой жизни, судимости, а также биометрические и генетические персональные данные. В международной практике этот вид персональных данных именуют «специфическим», поскольку он имеет наиболее важное значение для физического лица. В связи с этим вполне обоснованно рассматривать установление уголовной ответственности за незаконный оборот специальных персональных данных как за более тяжкое преступление.

Трансграничная передача персональных данных в другие государства, в которых не обеспечивается надлежащий уровень их защиты, по общему правилу запрещена. В проекте закона указано, что перечень иностранных государств, обеспечивающих надлежащий уровень защиты прав субъектов персональных данных, определяет уполномоченный орган по защите прав субъектов персональных данных. С этим можно согласиться, поскольку персональная информация граждан Беларуси может использоваться злоумышленниками других государств в преступных целях, в том числе для организации так называемых «информационных войн либо атак».

В Швеции лишением свободы от шести месяцев до двух лет наказывается лицо, которое намеренно или по небрежности в неустановленном порядке передает персональные данные иностранным государствам, не имеющим достаточный уровень защиты персональных данных. Адекватность уровня защиты оценивается с учетом всех обстоятельств, связанных с передачей. Особое внимание уделяется характеру данных, цели обработки, продолжительности обработки, стране происхождения, стране конечного назначения и правилам, которые существуют для обработки в третьей стране. Отдельно стоит отметить, что в любом случае допускается передача данных только в те государства, которые присоединились к Конвенции Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных». Республика Беларусь к числу присоединившихся к указанной Конвенции не относится.

Анализируя нормы законопроекта, возможно рассмотреть установление уголовной ответственности, при наличии тяжких последствий и преступного умысла, за следующие деяния:

• продолжение оборота персональных данных после того, как субъект персональных данных отозвал свое согласие на такой оборот;

• невнесение изменений в персональные данные по требованию субъекта персональных данных;

• непредоставление субъекту персональных данных в установленный срок информации о предоставлении его персональных данных третьим лицам.

Отдельно стоит рассмотреть возможность привлечения оператора персональных данных к уголовной ответственности за непринятие мер обеспечения защиты персональных данных. Субъектом совершения преступления может быть исключительно физическое лицо, а в большинстве случаев операторами персональных данных будут именно юридические лица. Поэтому правоохранительным органам надлежит устанавливать объективную и субъективную сторону в отношении конкретных представителей оператора. В связи с этим включение в перечень обязательных мер обеспечения защиты персональных данных обязанности оператора по назначению структурного подразделения или лица, ответственного за оборот персональных данных, должно быть обязательным.

Некоторые авторы отмечают, что для защиты персональных данных, находящихся в обороте у юридических лиц, должны применяться организационные меры по аналогии с другими категориями информации ограниченного доступа. Так, М.В.Бундин полагает, что к таким мерам должны относиться:

• установление перечня персональных данных;

• установление круга субъектов, имеющих доступ к персональным данным;

• использование специального грифа и реквизитов, позволяющих в дальнейшем идентифицировать информацию как конфиденциальную, – «Конфиденциально»;

• учет (регистрация) лиц, фактически получивших доступ к персональным данным;

• урегулирование отношений по охране конфиденциальности информации работниками и другими лицами на основании трудовых и гражданско-правовых договоров [15].

Такой подход, по нашему мнению, соответствует существующей практике защиты иной конфиденциальной информации, будет дисциплинировать сотрудников юридических лиц в процессе оборота персональных данных, упростит оперативную работу правоохранительных органов по квалификации деяний субъектов, посягнувших на персональные данные путем ненадлежащего исполнения своих обязанностей.

Подводя итог вышеизложенному, полагаем возможным сделать следующие выводы:

1. Принятие в Республике Беларусь закона о персональных данных соответствует международной практике, реалиям стремительно растущей информатизации общественных отношений, интересам граждан и субъектов хозяйствования и позволит усовершенствовать законодательство Республики Беларусь в части охраны персональных данных от посягательств, установить пределы их криминализации.

2. Учитывая правовые нормы законопроекта, а также зарубежный опыт, предлагается установить в УК ответственность за: незаконный оборот персональных данных; непринятие лицом, в том числе должностным, необходимых мер по защите персональных данных; хищение персональных данных с помощью специальных автоматизированных систем; незаконное изменение персональных данных; передачу персональных данных субъектам на территории иностранных государств, где не установлен надлежащий уровень их защиты.

3. Конкретные меры ответственности за вышеуказанные деяния, в том числе пределы их криминализации, должны устанавливаться в зависимости от причиненного ущерба, в том числе морального вреда, конкретному гражданину, субъекту хозяйствования, обществу, национальной безопасности.

 

СПИСОК ЦИТИРОВАННЫХ ИСТОЧНИКОВ

 

1. Белгородцева, Н. Г. Об особенностях правового регулирования в области защиты информации персонального характера / Н. Г. Белгородцева // Право и образование. – М., 2011, № 5. – С. 177–180.

2. Колобанов, Д. В. Информация как объект гражданского права / Д. В. Колобанов. – М. : Ин-т государства и права РАН. – 2009. – 79 с.

3. Конституция Республики Беларусь 1994 года : с изм. и доп., принятыми на респ. референдумах 24 нояб. 1996 г. и 17 окт. 2004 г. – 10-е изд., стер. – Минск : Нац. центр правовой информ. Респ. Беларусь, 2014. – 64 с.

4. Комментарий к Конституции Российской Федерации / под ред. В. Д. Зорькина. – 2-е изд. – М. : Норма, 2011. – 1088 с.

5. Лушников, А. Защита персональных данных работника: сравнительно-правовой комментарий гл. 14 Трудового кодекса РФ // Трудовое право. – 2009. – № 9. – С. 93–101 ; № 10. – С. 77–82. – СПС «КонсультантПлюс», 2009.

6. Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера [Электронный ресурс] : [заключена в г. Страсбурге 28.01.1981 г.] // КонсультантПлюс. Россия / ЗАО «КонсультантПлюс». – М., 2018.

7. Садикова, И. С. Конституционно-правовые основы защиты персональных данных / И. С. Садикова // Закон и право. – М. : ЮНИТИ-ДАНА, 2009. – С. 50–51.

8. Белорус и четверо россиян занимались в США кибермошенничеством, украли 5 млн долларов [Электронный ресурс]. – Режим доступа: https://news.tut.by/world/539333.html/. – Дата доступа: 01.09.2018.

9. Беларусь вошла в топ-10 стран по атакам фишеров [Электронный ресурс]. – Режим доступа: http://tvnews.by/comm/12881-belarus-voshla-v-top-10-stran-po-atakam-fisherov.html/. – Дата доступа: 01.09.2018.

10. С 25 мая – штрафы до 20 млн евро за пренебрежение к персональным данным пользователей [Электронный ресурс]. – Режим доступа: http://news.21.by/economics/2018/03/29/1441780.html/. – Дата доступа: 01.09.2018.

11. Баймакова, И. Обеспечение защиты персональных данных / И. Баймакова. – М. : 1С Паблишинг, 2010. – 214 с.

12. Правовой форум Беларуси [Электронный ресурс]. – Режим доступа: http://forumpravo.by/forums/npa.aspx?forum=15&topic=10297/. – Дата доступа: 01.09.2018.

13. Federal Data Protection in the version promulgated on 14 January 2003 [Electronic resource]. – Mode of access: http://www.wipo.int/edocs/lexdocs/laws/en/de/de202en.pdf./. – Date of access: 16.02.2018.

14. Spanish Data Protection Agency [Electronic resource]. – Mode of access: https://loc.gov/law/help/online-privacy-law/spain.php./. – Date of access: 16.02.2018.

15. Бундин, М. В. Персональные данные как информация ограниченного доступа / М.В.Бундин // Информационное право. – 2009. – № 1 (16). – С. 10.

 

Дата поступления статьи в редакцию 02.11.2018