РАЗВИТИЕ УГОЛОВНОЙ ОТВЕТСТВЕННОСТИ ЗА НЕПРАВОМЕРНЫЙ ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

В последнее время динамичность развития информационно-телекоммуникационных технологий и их применения во всех сферах общественной жизни намного опережают развитие законодательства по отдельным вопросам повсеместной цифровизации. И зачастую совершенствование правового регулирования происходит постфактум после возникновения резонансных случаев противоправного поведения, которые наглядно демонстрируют недостаточность законодательных мер. Подобная ситуация складывается в сфере охраны правомерного доступа к персональным данным (далее — ПД) как к серьезному информационного блоку, используемому для реализации преступных намерений.

Неправомерный доступ к ПД является одной из наиболее актуальных угроз информационной безопасности в современном обществе, ввиду сопряженности с иными преступлениями, в большинстве случаев имущественного характера. Для наглядного представления степени общественной опасности посягательств на ПД как охраняемую законом информацию необходимо обратиться к официальной статистике, публикуемой МВД России. Так, за последние пять лет количество зарегистрированных преступлений, связанным с неправомерным доступом к компьютерной информации, которая включает в себя охраняемые ПД, характеризуется беспрецедентным ростом:

– 2019 г. — 2 420 преступлений;

– 2020 г. — 4 105 преступлений;

– 2021 г. — 6 392 преступления;

– 2022 г. — 9 308 преступлений;

– 2023 г. — 36 788 преступлений;

– 2024 г. — 105 311 преступлений.

За январь–декабрь 2025 г. зарегистрировано 58782 преступлений, предусмотренных ст. 272 УК РФ

Но расследование подобных преступлений связано с анонимностью и высокотехнологичностью их совершения, что затрудняет привлечение виновных к уголовной ответственности: согласно информации о количестве осужденных лиц за совершение деяния, предусмотренного ст. 272 УК РФ, к уголовной ответственности привлекается около 3% и менее, в зависимости от конкретного временного периода

Официальная статистика в части роста количества случаев неправомерного доступа к компьютерной информации и общего количества преступлений, совершенных с использованием информационно-телекоммуникационных технологий, наглядно демонстрируют потребность законодательного реагирования на неправомерный доступ к ПД. В связи с изданием Федерального закона от 30.11.2024 г. № 421-ФЗ в УК РФ была введена ст. 272, которая определяет информацию, содержащую ПД в качестве самостоятельного объекта уголовно-правовой охраны. Это в перспективе позволит обеспечить надлежащий уровень противодействия распространению данной охраняемой законом информации, в том числе посредством блокирования информационных ресурсов, предназначенных для ее хранения и (или) распространения. Федеральным законом от 31.07.2025 № 282-ФЗ были введены дополнительные составы, направленные на недопущение использования аккаунтов пользователей на различных информационных ресурсах и передачи абонентских номеров с нарушениями законодательства РФ. Названые изменения направлены на борьбу с преступлениями, сопряженными с использованием персональных данных личности, цифровых аккаунтов, что позволяет анонимизировать личность преступника в условиях глобальной цифровизации.

Ввиду последних изменений уголовного законодательства, хотелось бы отследить динамику становления ПД как самостоятельного объекта уголовно-правовой охраны и уголовной ответственности за неправомерный доступ к персональным данным, что наглядно продемонстрирует соответствие правового регулирования тем или иным реалиям цифровизации общественной жизни.

Первоначально законодательное регулирование в области охраны ПД начало развиваться в 90-х гг. ХХ в., когда стало очевидно, что информационные технологии несут не только пользу, но и создают угрозы для личной безопасности и неприкосновенности частной жизни. С изданием Постановления Верховного Совета России от 23 сентября 1992 г. № 3524-1 в рамках отечественного правового поля появились такие личные права как право на имя и право на неприкосновенность (имеется ввиду неприкосновенность баз данных от посягательств, способных нанести ущерб чести и достоинству автора)

Законодательно ПД как самостоятельная категория были определены в Федеральном законе от 20 февраля 1995 г. № 24-ФЗ в качестве сведений о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность

Вышеуказанные нормативные источники устанавливали общие принципы защиты информации, включая персональные данные, конкретные аспекты обработки и защиты данных, отдельные требования к техническим и организационным мерам безопасности. Но не конкретизировались меры ответственности за нарушения режима защиты, обработки и порядка использования этой информации. В зависимости от сферы использования ПД (врачебная, коммерческая, семейная, налоговая тайна и т.п.) деяние по разглашению ПД могло повлечь все виды юридической ответственности. Исходя из сложившегося правового режима ПД по вступившему в законную силу УК РФ 1996 г. ответственность за противоправные действия в отношении них могла наступать по ст. ст. 137, 183 и 272 УК РФ.

Следующим этапом развития ПД как самостоятельной категории правовой охраны стало принятие Федерального закона «О персональных данных» в 2006 г., который установил основные правила работы с информацией, содержащей личные сведения граждан. Но как бы не совершенствовалось законодательство, устанавливающее правовой статус ПД и обязанности операторов по их обработке, единообразного подхода к юридической ответственности за неправомерный доступ к ПД не сложилось: могли все также применяться ст. ст. 137, 183, 272 УК РФ. И с момента издания Федерального закона «О персональных данных» ряд ученых высказались о специфике и разрозненности реализации уголовной ответственности за неправомерный доступ к ПД, а также о необходимости создания самостоятельной нормы, однако рознились взгляды на ее место в уголовном законе

Коллизия, действующая продолжительный промежуток времени, в части применения ст. 137 и 272 УК РФ за неправомерный доступ к ПД, могла бы быть разрешена посредством формы представления данной информации. Если персональные данные представлены в форме сведений, представленных в форме электрических сигналов, то следовало применять ст. 272 УК РФ. Но это исключало бы создание самостоятельной нормы за посягательства в отношении ПД как самостоятельного объекта уголовно-правовой охраны.

Усиление внимания законодателя к обеспечению охраны ПД происходило постепенно: от создания норм, устанавливающих административную ответственность за ненадлежащее исполнение обязанностей по обеспечению сохранности ПД (например, ст.13.11 – 13.14 КоАП РФ) до установления требований к оценке вреда, который может быть причинен субъектам ПД в случае нарушения Федерального закона «О персональных данных»

На настоящий специфика действия уголовно-правовой нормы, устанавливающей ответственность за неправомерный доступ к ПД, определяется формой их фиксации — исключительно в виде компьютерной информации. Если же ПД данные содержатся, например, на бумажных носителях, то также сохраняется практика применения норм иных статей уголовного закона в части нарушения особого режима охраны ПД. Различные правовые режимы конфиденциальности ПД обосновывают то, какие общественные отношения пострадали в результате противоправного деяния.

Основания криминализации посягательств в отношении ПД можно свести к юридико-криминологическим и к социально-экономическим. Первую группу оснований можно раскрыть следующим образом:

– распространённость деяний и динамика кратного роста с каждым годом;

– создания возможности воздействия на них уголовно-правовыми средствами при отсутствии возможности борьбы иными мерами.

Вторую группу оснований первостепенно составляет причиняемый деяниями ущерб и недостаточность превентивных мер, включая негативные последствия в рамках существующих уголовно-правовых запретов.

Обе названые группы оснований криминализации комплексно реализуют развитие уголовной ответственности за неправомерный доступ к ПД в современных реалиях. Но для эффективной реализации введенной нормы нужно исходить из специфики ПД и уже существующего режима охраны, предусмотренного действующим профильным информационным законодательством. И некоторые авторы отмечают, что применение норм об уголовной ответственности за неправомерный доступ к ПД может стать основанием для несогласованной правоприменительной практики и нуждается в дальнейших исследованиях института уголовной ответственности за незаконные действия с компьютерной информацией, содержащей ПД

Координирование правовых предписаний, принимаемых в последнее время в отношении обработки ПД, определяет бланкетный характер введенной нормы не только в части преступных действий, но и оценки ущерба и тяжести возможных последствий. Например, Требования по оценке вреда, который может быть причинен субъектам ПД, утвержденные приказом Роскомнадзора от 27 октября 2022 г. № 178, могут быть имплементированы в Постановление Пленума Верховного Суда Российской Федерации от 15 декабря 2022 г. № 37 в части установления причиненного ущерба и соотношения с тяжестью последствий, наступивших в результате неправомерного использования этих данных. Согласно вышеуказанным Требованиям, оператор организации обработки ПД устанавливает одну из степеней вреда, который может быть причинен их владельцу в случае нарушения законодательства о ПД: высокая, средняя и низкая степень вреда

Последние изменения уголовного законодательства направлены в частности на борьбу с использованием чужих SIM-карт и аккаунтов для обхода идентификации при совершении противоправных действий. Об эффективности реализации данных положений пока говорить рано, но законодатель комплексно подходит к обеспечению информационной безопасности личности, общества и государства в целом.

Таким образом, развитие уголовной ответственности за неправомерный доступ к ПД — это сложный и многогранный процесс, который направлен на защиту прав граждан в условиях возрастающих угроз информационной безопасности. Совершенствование законодательства и формирование единообразной практики его применения играют ключевую роль в обеспечении неприкосновенности персональных данных и сохранении доверия общества к цифровым технологиям. И чтобы гарантировать единство законодательных предписаний при обеспечении надлежащего уровня уголовно-правовой охраны ПД, необходимо учитывать иные нормативные источники, позволяющие установить факт неправомерных действий с ПД и степень причинённого вреда в части возможного ущерба или иных тяжких последствий.