Статья 272 УК РФ и не только. Риски правоприменительной практики
272.1 УК РФ – первая и шестая части
Если говорить о статье 272.1 УК РФ, то наибольший интерес представляют части первая и шестая:
1. Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем
6. Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети "Интернет" и (или) страницы сайта в сети "Интернет", информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем.
Принятие данной статьи вызвало бурные обсуждения в связи с тем, что в случае ее расширенного толкования под ее действие могут попасть в том числе следующие действия:
• Руководитель подразделения компании, отвечающий за проект, связанный с использованием персональных данных (ПДн) клиентов/работников компании, выстроил взаимодействие по передаче ПДн контрагенту без согласия субъекта ПДн.
• Процессы, в которых используется согласие на обработку персональных данных (СОПД), зачастую находятся под риском признания такого СОПД неполученным (множественность или избыточность целей, мультиоператорское согласие, несоответствие целей сбора реальным правоотношениям). Если при получении жалобы физического лица или проверки Роскомнадзора СОПД будет признано порочным (т. е. недействительным, незаконным), то обработка данных в виде использования ПДн компанией получится без надлежащего правового основания и будет признана полученной «иным незаконным путем». Признание СОПД неполученным также может привести к последствиям в части функционирования информационных ресурсов, информационных систем, а также ПО компании. Такие ресурсы без надлежащего правового основания для обработки ПДн превращаются в «предназначенные для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем». Указанные обстоятельства могут привести к ответственности руководителя подразделения, отвечающего за данный процесс, использование соответствующего ПО.
• Мониторинг скомпрометированных учетных записей в массивах данных в открытых источниках, в том числе «даркнете», с целью поиска скомпрометированных данных сотрудников, клиентов. В массивах данных, скачиваемых в рамках мониторинга, попадаются персональные данные людей, не являющихся сотрудниками, клиентами компании. В соответствии с принятой формулировкой сбор и обработка таких данных (на обработку которых не получено согласие) являются незаконными.
• Расследование «утечек» персональных данных, с целью проверки информации о предполагаемых утечках ПДн пользователей и принятия соответствующих мер. Для расследования предполагаемой утечки необходимо скачать базу данных и проанализировать ее. В соответствии с принятой формулировкой сбор и обработка таких данных (на обработку которых не получено согласие) являются незаконными.
• Пентест, с целью проверки устойчивости инфраструктуры хранения и обработки ПДн на возможность проникновения, в том числе в рамках исполнения регуляторных требований.
• Проверка утечек на наличие в них данных клиентов оператора персональных данных. Необходимо скачивать, хранить и анализировать базы данных, содержащие персональные данные. Если данные относятся к клиенту компании, компания оценивает степень их влияния и принимает меры для дополнительной защиты клиента от мошенников, которые могут использовать эти данные для социальной инженерии или взлома.
• Профилактика компрометации контура информационной безопасности. Необходимы сбор, хранение и анализ утечек баз данных, содержащих персональные данные и парольную информацию. Службы информационной безопасности выделяют из утечек корпоративные учетные записи компании и проверяют успешность входа по утекшему паролю. Если пароль подходит, на учетную запись накладываются ограничения по доступам и от сотрудника требуют смены пароля.
А теперь проанализируем статью 272.1 УК РФ.
272.1 УК РФ. Общая характеристика
Статья 272.1 УК РФ введена Федеральным законом от 30.11.2024 № 421-ФЗ и направлена на защиту персональных данных (ПДн), обрабатываемых в компьютерной форме. Она криминализирует:
• Незаконные операции с ПДн (использование, передача (распространение, предоставление, доступ), сбор, хранение).
• Создание и поддержку информационных ресурсов, заведомо предназначенных для незаконного хранения и передачи (распространения, предоставления, доступа) ПДн.
Цель нормы (статьи 272.1 УК РФ) – пресечение киберпреступлений, связанных с утечками и торговлей персональными данными.
Объект преступления:
• Родовой объект – общественные отношения в сфере информационной безопасности (гл. 28 УК РФ).
• Видовой объект – конфиденциальность и законность обработки ПДн.
• Непосредственный объект – право граждан на защиту их персональных данных (ст. 24 Конституции РФ, ст. 7 152-ФЗ «О персональных данных»).
Объективная сторона
Преступление выражается в:
• Незаконной обработке компьютерной информации, содержащей ПДн, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем.
• Создании/функционировании ресурсов для незаконного хранения/распространения компьютерной информации, содержащей ПДн, полученной незаконным путем.
Состав материальный – требует установления факта незаконного получения и оборота ПДн.
Субъект преступления
• Физическое лицо, достигшее 16 лет.
• Специальный субъект (ч. 3 п. «г») – лицо, использовавшее служебное положение (например, сотрудник банка, администратор базы данных).
Субъективная сторона
• Прямой умысел: виновный осознает незаконность своих действий. Ключевым условием наступления ответственности, предусмотренной ст. 272.1 УК РФ, является одновременное наличие двух составляющих в действиях виновного лица:
• незаконный способ завладения ПДн в электронном виде;
• незаконные действия, связанные с их распространением.
Незаконный способ получения компьютерной информации, содержащей ПДн, может быть в виде:
1) неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование;
2) иным незаконным путем.
За неправомерный доступ к компьютерной информации предусмотрена уголовная ответственность в соответствии со статьей 272 УК РФ. В этом случае привлечение к уголовной ответственности по статье 272.1 УК РФ должно быть по совокупности преступлений: сначала лицо должно осуществить неправомерный доступ к компьютерной информации, то есть совершить преступление, предусмотренное статьей 272 УК РФ, а уже потом незаконно ее использовать. Если нет состава преступления по статье 272 УК РФ, то не будет и 272.1 УК РФ. Иными словами, даже если компьютерная информация, содержащая персональные данные, используется незаконно, но сам доступ к ней был правомерным, события преступления не будет.
Неправомерным признается доступ к компьютерной информации лица, не обладающего правами на получение и работу с данной информацией либо компьютерной системой, в отношении которых приняты специальные меры защиты, ограничивающие круг лиц, имеющих к ней доступ. Если средства защиты не были обеспечены – например, данные оказались в открытом доступе, то неправомерность будет отсутствовать.
Другими словами, неправомерный доступ к компьютерной информации – это незаконное либо не разрешенное собственником или иным законным владельцем использование возможности получения компьютерной информации. При этом под доступом понимается проникновение в ее источник с использованием средств (вещественных и интеллектуальных) компьютерной техники, позволяющее использовать полученную информацию (копировать, модифицировать, блокировать либо уничтожать ее), – см. «Методические рекомендации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации», утверждены Генпрокуратурой России.
Согласно Постановлению Пленума Верховного Суда РФ от 15.12.2022 № 37 «О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть «Интернет»», неправомерным доступом к компьютерной информации является получение или использование такой информации без согласия обладателя информации лицом, не наделенным необходимыми для этого полномочиями, либо в нарушение установленного нормативными правовыми актами порядка независимо от формы такого доступа (путем проникновения к источнику хранения информации в компьютерном устройстве, принадлежащем другому лицу, непосредственно либо путем удаленного доступа).
Согласно статистическим данным МВД РФ наметился явный рост количества уголовных дел, возбужденных по статье 272 УК РФ (см. таб. 1)
Таб. 1. Рост количества уголовных дел, возбужденных по статье 272 УК РФ (2019–2024 гг.)
Однако незаконность получения информации может быть не только в виде неправомерного доступа, но и иным незаконным путем. Данная объективная сторона определена не так четко. Предполагается, что доступ к информации должен быть осуществлен с нарушением какого-либо закона (т. е. незаконно).
Правила доступа к информации, содержащей персональные данные, установлены Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»: «Обработка персональных данных включает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
В данном определении термин «доступ» используется в значении «передача», то есть предоставление доступа третьему лицу со стороны владельца, а не получение со стороны субъекта доступа к данным (сбор, запись, накопление). По смыслу 152-ФЗ доступ к персональным данным означает получение сведений, содержащих персональные данные, а предоставление доступа другому лицу означает именно передачу данных.
Кодекс Российской Федерации об административных правонарушениях от 30.12.2001 № 195-ФЗ в статье 13.14.1. предусматривает прямую ответственность за незаконное получение информации с ограниченным доступом:
«Получение информации любым незаконным способом, доступ к которой ограничен федеральным законом, за исключением случаев, предусмотренных статьей 5.53, частями 1 и 2 статьи 13.11, статьей 14.29, частью 5 статьи 15.19, частью 2 статьи 17.13 настоящего Кодекса, если эти действия не содержат признаков уголовно наказуемого деяния».
В этом случае привлечение к уголовной ответственности по статье 272.1 УК РФ должно осуществляться, если это же лицо также привлечено к административной ответственности по статье 13.14.1. В этой же статье указаны и другие случаи получения информации незаконным способом:
1) Статья 5.53 КоАП РФ Незаконные действия по получению информации, составляющей кредитную историю.
2) Часть 1 и 2 статьи 13.11 КоАП РФ Нарушение законодательства Российской Федерации в области персональных данных:
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных.
Стоит отметить, что для привлечения к уголовной ответственности по статье 272.1 УК РФ, наказание по части 1 или 2 статьи 13.11 административного кодекса должно быть не за любую обработку ПДн, а только за обработку компьютерной информации по получению данных (сбор, запись, накопление).
3) Статья 14.29 КоАП РФ Незаконное получение или предоставление кредитного отчета
Незаконные действия по получению кредитного отчета либо информации, составляющей кредитную историю и входящей в кредитный отчет.
4) Часть 5 статьи 15.19 Нарушение требований законодательства, касающихся предоставления и раскрытия информации на финансовых рынках, – незаконные получение информации и сведений, включенных в реестр договоров.
5) Часть 2 статьи 17.13 – сбор персональных данных судей, прокурорских работников, следователей, лиц, производящих дознание, сотрудников органов внутренних дел, военнослужащих, сотрудников органов федеральной службы безопасности, сотрудников органов государственной охраны, сотрудников органов внешней разведки Российской Федерации, сотрудников Следственного комитета Российской Федерации, сотрудников войск национальной гвардии Российской Федерации, сотрудников органов или учреждений уголовно-исполнительной системы, сотрудников таможенных органов или сотрудников органов принудительного исполнения Российской Федерации в связи с осуществлением ими служебной деятельности или выполнением такими лицами общественного долга либо персональных данных близких таких лиц, совершенный с нарушением требований законодательства Российской Федерации в области персональных данных.
Таким образом, привлечение к уголовной ответственности по статье 272.1 УК РФ за незаконное использование, передачу, сбор, хранение компьютерной информации, содержащей персональные данные, возможно только при наличии состава преступления по статье 272 УК РФ или правонарушения по указанным статьям Кодекса Российской Федерации об административных правонарушениях, с учетом того, что административное наказание вынесено на сбор, запись, накопление ПДн.
Часть 6 статьи 272.1 УК РФ предусматривает ответственность за создание, обеспечение функционирования сайта или страницы сайта в сети "Интернет", информационной системы, программы для ЭВМ, заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем. Для вменения данной статьи персональные данные также должны быть получены незаконным путем.
Целью создания информационного ресурса (сайта / страницы сайта / информационной системы / программы для ЭВМ) должно быть его предназначение для незаконного хранения, передачи компьютерной информации, содержащей ПДн, полученной незаконным путем. Если происходит модификация легитимного сайта, системы, программы с этой же целью, то такие действия могут рассматриваться как обеспечение функционирования информационного ресурса.
В качестве неправомерных действий по обеспечению функционирования сайта или информационной системы могут также расцениваться действия по обеспечению их работоспособности: регистрация лицом домена для создаваемого сайта и оплата услуг по продлению доменного имени; оплата услуг хостинга сайта; размещение сайта на сервере на безвозмездной основе; администрирование и техническая поддержка сайта или информационной системы; оказание услуг по продвижению сайта (SEO-услуг) и его рекламированию; предоставление данных для регистрации ботов в мессенджерах, предоставление компьютерной техники для создания и поддержания информационного ресурса и т. д.
Лицо может быть подвергнуто уголовному преследованию за вышеуказанные действия только при условии, что оно достоверно знало об их направленности на обеспечение функционирования сайта или информационной системы, заведомо предназначенных для незаконного хранения, передачи компьютерной информации, содержащей персональные данные, ранее полученной незаконным путем.
То есть информационный ресурс должен обрабатывать компьютерную информацию, содержащую ПДн, полученную в результате статьи 272 УК РФ или одной из перечисленных выше статей Кодекса Российской Федерации об административных правонарушениях.
Таким образом, уголовная ответственность по статье 272.1 УК РФ наступает в результате двух противоправных действий: не только незаконного использования компьютерной информации, содержащей персональные данные, но и в результате незаконного получения данной информации. Если же персональные данные получены законно, например, в соответствии с частью 4 статьи 29 Конституции РФ (Каждый имеет право свободно искать, получать информацию любым законным способом) или со статьей 6 Федерального закона № 152-ФЗ «О персональных данных» (с согласия; для исполнения закона; для исполнения договора; для заключения договора и др.), то последующая их незаконная обработка не повлечет уголовной ответственности, а только административную.
Дополнительно необходимо учитывать, что срок давности привлечения к административной ответственности, например по статьям 13.11, 13.14.1, – один год. Срок давности привлечения к административной ответственности исчисляется со дня совершения административного правонарушения. При длящемся административном правонарушении сроки давности начинают исчисляться со дня обнаружения административного правонарушения. Постановление о наложении административного штрафа за нарушения в сфере обработки персональных данных (по ст. 13.11, 13.14.1 КоАП РФ), как правило, выносится в рамках административного производства Роскомнадзором (Федеральная служба по надзору в сфере связи, ИТ и массовых коммуникаций) в результате выявленных нарушений в рамках плановых или внеплановых проверок. Понятно, что такие проверки проводятся в рамках легальной деятельности по обработке персональных данных и никоим образом не затрагивают хакеров и других лиц, которые изначально обрабатывают персональные данные незаконно. Привлечение данной категории лиц к уголовной ответственности по статье 272.1 УК РФ возможно, как уже было отмечено, только если этому предшествовали действия, попадающие под статью 272 УК РФ. Легальному же бизнесу необходимо особое внимание уделить правомерному доступу – получению персональных данных, в этом случае статья 272.1 УК РФ также не будет действовать.
Эти и другие, не менее актуальные вопросы будут активно обсуждаться в Москве 9–10 сентября 2025 года на международном ПЛАС-Форуме «Платежный бизнес и денежное обращение».
