Ассоциация больших данных (АБД), членами которой являются «Яндекс», VK, телекоммуникационные и финансовые компании, а также аналитические центры, предложила депутатам уточнить текст поправок в Уголовный кодекс РФ, ужесточающих наказание за утечки данных и устанавливающих для нарушителей уголовную ответственность за сбор или хранение незаконно полученных ПДн. Об этом говорится в письме Ассоциации от 26 декабря 2023 году, направленном в комитет Госдумы по госстроительству и законодательству, пишет Forbes.
Поправки в УК РФ были внесены в Госдуму 4 декабря 2023 года. Они предполагают дополнение Уголовного кодекса статьей 272.1, устанавливающей ответственность за незаконное использование, передачу, сбор и хранение персональных данных, а также за создание ресурсов для незаконного хранения такой информации. В зависимости от тяжести преступления, виновных ждёт штраф или наказание до десяти лет лишения свободы. Принятие документа, по мнению его авторов, позволит «эффективно привлекать к уголовной ответственности злоумышленников, совершающих преступления в сфере персональных данных».
В АБД поддержали саму идею введения ответственности за сбор и хранение персональной информации, однако, подчеркнули, что состав, вводимый в УК, должен быть однозначным, а ответственность должны нести взломщики и продавцы баз данных. В текущей версии законопроекта состав формален и предусматривает наказание за сбор и хранение персональных данных и не зависит от наличия умысла, пояснили в АБД.
Ассоциация предлагает ввести в формулировку законопроекта наказание за заведомо незаконные сбор, хранение и использование ПДн. Это позволит исключить случаи привлечения к уголовной ответственности лиц, случайно получивших доступ к персональным данным, следует из письма АБД.
Также необходимо исключить введение ответственности для сотрудников подразделений ИБ или экспертных учреждений, которые в силу должностных обязанностей занимается мониторингом защищённости информсистем, изучают утечки или ресурсы, на которых они размещаются, считают авторы обращения. Уголовная ответственность может коснуться любого агрегатора пользовательских данных, а формулировка статьи может трактоваться крайне широко.
Кроме того, интернет-ресурсы, собирающие информацию о пользователях, широко используют партнёрские программы, в рамках которых передают персональные данные клиентов своим партнёрам. Такая ситуация вполне сможет создать возможность привлечения участников лиц к уголовной ответственности. В подобной формулировке уголовному преследованию могут подвергаться компании, занимающиеся разработкой систем искусственного интеллекта, считают эксперты.
При этом инициатива не создает рычагов воздействия на продавцов персональных данных — многочисленных сервисов, которые чаще всего базируются не в России, и привлекать к уголовной ответственности попросту некого.
Будут ли учтены замечания АБД, неизвестно. Как пишет Forbes, Минцифры поддержало законопроект, в комитете Госдумы по информационной политике отказались от комментариев, а в комитете Госдумы по государственному строительству и законодательству не ответили на запрос издания.