В Госдуму внесены законопроекты, в очередной раз ужесточающие ответственность за утечку и использование персональных данных. За их утечку будут грозить многомиллионные штрафы, а за их распространение — уголовные наказания до 10 лет лишения свободы. Это создает новые риски для журналистов-расследователей и всех, кто распространяет важную для общества информацию. Под особой защитой окажутся данные о завербованных на войну бывших заключенных, помилованных Владимиром Путиным.
Сенаторы и депутаты Госдумы от «Единой России» одновременно внесли в Госдуму два законопроекта. Первый ужесточает штрафы для операторов баз персональных данных за их утечку и неуведомление об этом Роскомнадзора. Этот проект направлен прежде всего на «стимулирование» юридических лиц охранять информацию, им в ряде случаев могут грозить штрафы в 15 и даже 500 млн рублей.
Второй законопроект касается наказания за использование утечек данных. Он дополняет Уголовный кодекс РФ новой статьей 272.1 — о передаче, сборе и хранении персональных данных, полученных «незаконным способом». В пояснительной записке говорится, что эта статья направлена на «злоумышленников». Кого конкретно к ним будут относить, в законопроекте не указано.
Максимальный срок наказания по новой статье — 10 лет колонии со штрафом до 3 миллионов рублей — за передачу «незаконно» полученных персональных данных за границу, если эта передача повлекла тяжелые последствия для пострадавшей стороны. За передачу данных за границу, которая не повлекла тяжелых последствий, законопроект предусматривает максимальный срок наказания — 8 лет и штраф до 2 млн рублей.
Повышенные санкции — как административные, так и уголовные — теперь будут предусмотрены в случае утечки и распространения так называемых «спецкатегорий» персональных данных — к ним, согласно закону «О персональных данных», относятся данные о расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также о судимости.
Это напрямую касается распространения информации о бывших заключенных, завербованных в колониях на войну в Украину и помилованных для этого Владимиром Путиным. Пресечь распространение такой информации Госдума попыталась еще весной — после того как об этом попросил спикера Вячеслава Володина глава ЧВК «Вагнер» Евгений Пригожин.
«Базы уже утекли, размещены, многократно скачаны и распространены»
Новая статья УК поставит под угрозу журналистов-расследователей, подтвердили Би-би-си управляющий партнер юридической фирмы «Марков и Мадаминов» Сергей Марков, глава «Трансперенси Интернешнл — Россия» Илья Шуманов (организация признана «иноагентом» и «нежелательной» в России, а ее руководитель — «иноагентом») и адвокат, специализирующийся на защите цифровых прав (он попросил об анонимности в целях своей безопасности).
Сейчас УК РФ предусматривает наказания за незаконный сбор и распространение в сети информации о частной жизни, а также за незаконный доступ к компьютерной информации, в том числе за ее копирование, объясняет Марков. Кроме того, по его словам, периодически к уголовной ответственности привлекают людей, сливающих информацию о содержании переписок и звонков — например, сотрудников мобильных операторов, которые продают информацию о биллинге абонентов.
Но распространение информации, которая не касается частной жизни и не была получена незаконно самим ее распространителем, пока преступлением не является — ее лишь вправе заблокировать Роскомнадзор. Авторы нового законопроекта предлагают ввести уголовную ответственность просто за распространение информации, содержащейся в слитых базах персональных данных, говорит юрист.
Для этого правоохранителям будет достаточно доказать лишь факт распространения сведений о персональных данных, ранее незаконно полученных третьими лицами. Марков приводит пример с утечкой базы «Яндекс.Еды» — например, «Яндекс» допустил утечку, а теперь эти данные распространяются уже кем угодно и особого наказания за это сейчас в законодательстве в принципе не предусмотрено
«С одной стороны, это позволит привлекать к ответственности продавцов баз данных. Но очевидно, что такие люди скрывают свою деятельность, поэтому вряд ли основная практика применения новой статьи сосредоточится именно на них. Более явными выглядят риски для журналистов, которые занимаются расследованиями, анализируя широко доступные, но далеко не всегда законно опубликованные базы данных», — говорит Марков.
Запрет, по словам юриста, будет касаться любых людей, которые распространяют информацию, но для журналистов, которые занимаются проектами вроде «Панамского архива», «Досье Пандоры» и другими расследованиями, риски выше, поскольку именно они профессионально работают с базами, публикуют информацию и к тому же сами являются публичными личностями, так что их легко найти.
Илья Шуманов отмечает, что новая статья Уголовного кодекса может быть использована в репрессивных целях также для преследования гражданских активистов и аналитиков. После принятия этого закона теоретически проблемы могут возникнуть у любого человека, если у него в телефоне вдруг оказался скан чужого паспорта и он не может доказать, что эта информация использовалась им в семейных или личных целях, полагает Шуманов. «Понятие персональных данных у нас размыто. И фактически под него может попасть любая информация», — подчеркивает он.
Он отмечает, что под действие законопроекта попадают сервисы, предоставляющие доступ к персональным данным по запросу — «телеграм-боты, сервисы пробива, типа «Глаз Бога» и ему подобные». При этом, по словам Шуманова, вряд ли эти сервисы перестанут функционировать после вступления в силу новой статьи Уголовного кодекса. «У правоохранительных органов хватает инструментов для того, чтобы бороться с ними блокировками, уголовным преследованием, но они не могут справиться», — отмечает Илья Шуманов.
Риски для тех, кто решится опубликовать что-то открыто на основе утечки данных растут, а угрозы для хакеров, по-прежнему нет, подтверждает адвокат, специализирующийся на защите цифровых прав. Он ссылается на открытые данные, судя по которым слитых баз данных за последнее время стало существенно больше, а о привлечении лиц, действительно связанных с утечками, ничего не известно.
Как отметил адвокат, «запрещенные» персональные данные спецкатегорий — о расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях̆, состоянии здоровья, интимной жизни, а также биометрические персональные данные, чаще всего собирают именно силовики. Об этом, например, подробно рассказывал проект «Сетевые свободы».
Деятельность журналистов защищена законом «О персональных данных» — в нем прямо предусмотрено, что обработка данных допускается для осуществления профессиональной деятельности журналиста, СМИ, а также научной, литературной или иной творческой работы, обратил внимание адвокат. Но авторы законопроекта об этом в пояснительной записке умалчивают, будут ли на практике учитываться закрепленные этим законом права журналистов и СМИ — неизвестно, отмечает он.
«Отдельный вопрос возникнет в том случае, если благодаря изучению базы данных, опубликованной хакерами незаконным путем, журналист предаст огласке информацию, представляющую явный общественный интерес — о коррупционных или иных преступлениях, совершенных государственными служащими или при их непосредственном участии, — рассуждает тот же эксперт. — Будут ли суды в таких случаях освобождать от ответственности представителей СМИ, выполняющих функции «сторожевых псов общества»? Большой вопрос».
Ужесточение наказаний за незаконный оборот персональных данных — предсказуемая реакция властей на полное обрушение системы их защиты в 2022-2023 годах, резюмирует собеседник Би-би-си. «Информация практически о каждом жителе России, не исключая сотрудников спецслужб и членов семей высших государственных чиновников уже действительно доступна в интернете. Вероятность найти и привлечь к реальной ответственности лиц, которые обеспечили утечки, крайне низка: базы уже утекли, размещены, многократно скачаны и распространены, — говорит он. — А вот действительно высокие риски законопроект создает для тех, кто будет пытаться использовать уже опубликованные данные в своей открытой работе — для журналистов-расследователей».
Подпишитесь на нашу имейл-рассылку, и каждый вечер с понедельника по пятницу вы будете получать самые основные новости за день, а также контекст, который поможет вам разобраться в происходящем.
Как власти боролись с журналистскими расследованиями
Законодательные попытки борьбы с журналистскими расследованиями предпринимались за последние три года неоднократно. Новая инициатива — уже пятая, подсчитала Би-би-си.
В 2021 году после расследования Алексея Навального о сотрудниках ФСБ, которые участвовали в его отравлении, Госдума узаконила особую защиту персональных данных судей, госчиновников, силовиков и их близких.
В 2022 году власти ограничили доступ к данным военнослужащих и сотрудников правоохранительных органов с целью избежать деанонимизации, а также к реестру прав на недвижимость. Кроме того, был издан приказ ФСБ о перечне информации, за сбор которой граждане под угрозой уголовной ответственности должны просить Минюст включить их в реестр «иностранных агентов».
Наконец, в 2023 году Госдума узаконила создание под контролем Службы внешней разведки особого реестра наиболее засекреченных персональных данных госчиновников и силовиков. Этот закон позволяет возможность редактирования и подмены сведений прямо внутри баз операторов персональных данных. Эксперт отмечал, что инициатива связана с ростом количества открытых баз данных и возможностью «пробива» информации через них, однако новый реестр все равно не спасет их от утечки.