Журналиста «Новой газеты» будут судить за «незаконное использование персональных данных». Это новая статья Уголовного кодекса — к сожалению, потенциально опасная для многих россиян Кто в зоне риска? И стоит ли пользоваться ботами «пробива»?
Что случилось?
10 апреля Тверской районный суд Москвы арестовал журналиста-расследователя, обозревателя «Новой газеты» Олега Ролдугина. Его задержали накануне; одновременно в редакции издания прошел обыск, который продолжался более 13 часов.
14 апреля Ролдугину предъявили официальное обвинение в «незаконном использовании и хранении персональных данных, совершенном группой лиц по предварительному сговору» (пункт «в» части 3 статьи 272¹ Уголовного кодекса РФ).
Мы не знаем всех обстоятельств этого дела, но раньше подобные дела так или иначе были связаны с рынком «пробива».
Подобные дела уже были раньше?
Были, но не в отношении журналистов. Хотя сразу после появления новой статьи в УК РФ в конце 2024 года адвокат «Первого отдела» Евгений Смирнов предполагал, что она «может использоваться в том числе против расследователей и журналистов».
Вот лишь некоторые заголовки новостей «Медиазоны», связанных с такими делами, за последний год:
- Суд в Москве арестовал семь человек по делу о торговле базами данных; среди них полные тезки сотрудниц дата‑центра МВД (часть 5 статьи 272¹)
- На близнецов из Нижнего Новгорода завели дело за торговлю базами персональных данных (пункты «а» и «в» части 3 статьи 272¹)
- Руководитель колл-центра из Череповца задержан по подозрению в незаконной передаче персональных данных «телефонным мошенникам с Украины» (часть 3 статьи 272¹)
- В Москве по делу о сервисе для «пробива» Solaris арестовали его владельца из ФСБ и бывшего сотрудника Минобороны (части 5 и 6 статьи 272¹)
- Москвичу запросили условный срок по новой статье о «пробиве»; он купил в боте телефоны губернаторов и разослал им рекламу (пункт «а» части 3 статьи 272¹)
- Полицейская слила данные мужчины, у которого позже вымогали деньги под предлогом секса с подростком; ей дали штраф в 25 тысяч рублей (часть 3 статьи 272¹)
То есть еще недавно коммерческий оборот персональных данных был законным?
Нет. Покупателя и продавца персональных данных и раньше могли осудить. Например, по статье 137 («Нарушение неприкосновенности частной жизни») или по статье 272 («Неправомерный доступ к компьютерной информации»).
В 2023 году сотрудник офиса продаж одного из мобильных операторов в Ижевске фотографировал на телефон с монитора служебного компьютера персональные данные абонентов и отправлял их клиентам через телеграм. Его осудили сразу по 137-й и 272-й статьям.
В том же 2023 году было возбуждено дело против начальника отдела собственной безопасности оперативно-поискового бюро ГУ МВД по Пермскому краю Андрея Агафонова. Он за вознаграждение делился информацией из ведомственных баз данных с третьими лицами, в том числе с представителями частных служб безопасности. Агафонова обвиняли сразу по нескольким статьям: кроме 137-й и 272-й там была еще 286-я (превышение должностных полномочий) и 290-я (получение взятки).
Теперь во всех таких случаях будет использоваться новая статья 272¹
Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения
Хватит терпеть блокировки! Их можно обходить, и это легально. Мы сделали pdf-памятку — как выбрать и использовать VPN, что такое прокси, плюс другие полезные инструкции. Скачайте ее и поделитесь с друзьями. И подпишитесь на SOS-рассылку «Медузы» — она о том, как выжить в сломанном интернете.
Новая статья предусматривает более серьезное наказание?
Да. Например, в сравнении со статьей о неправомерном доступе к компьютерной информации максимальное наказание за базовый состав преступления выросло с двух до четырех лет лишения свободы, а в случае наступления тяжких последствий — с семи до 10 лет. А за нарушение неприкосновенности частной жизни человека нельзя посадить больше чем на пять лет.
Первые пять частей новой статьи 272¹ предусматривают наказание и для продавцов, и для покупателей «персональных данных»:
- первая часть — за обычный незаконный оборот персональных данных
- вторая — за несовершеннолетних, биометрию и специальные категории персональных данных
- третья — за незаконный оборот из корыстной заинтересованности, с причинением ущерба в размере более одного миллиона рублей, группой лиц по предварительному сговору или с использованием своего служебного положения
- четвертая — за любую трансграничную незаконную передачу персональных данных (как из России, так и в Россию)
- пятая — за тяжкие последствия или работу организованной группы
Каждая новая часть ужесточает максимальное наказание: 4, 5, 6, 8 и 10 лет лишения свободы соответственно. Опциональны и штрафы для последних категорий в размере до одного, двух и трех миллионов рублей или доходов за два, три или четыре года.
Шестая часть новой статьи 272¹ — особенная. Она предназначена для владельцев и администраторов информационных ресурсов для «пробива» (например, сайтов или телеграм-ботов). Максимальное наказание — пять лет лишения свободы со штрафом в 700 тысяч рублей или в размере дохода за два года.
А наказывают именно за покупку и продажу персональных данных?
Нет. Формально в законе речь идет о любом незаконном обороте персональных данных, полученных незаконным путем:
- незаконное использование
- незаконная передача (распространение, предоставление, доступ)
- незаконный сбор
- незаконное хранение
Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем.
Причем тут важно, чтобы незаконными были обе составляющие — оборот данных и способ их получения.
Разве бывает как-то иначе?
Бывает. Данные могли быть получены законным путем. Например, коммерческая компания, заручившись согласием клиента, сохранила у себя в базе его контактные данные и домашний адрес. Но потом их вовремя не уничтожила после отзыва согласия и продолжила хранить «на всякий случай». Тогда виновного тоже накажут, но это будет считаться не преступлением, а административным правонарушением (статья 13.11 КоАП).
А бывает законное использование данных, полученных незаконным путем?
Это сложный вопрос. На него можно однозначно ответить — да, такое бывает. Но оценить каждый конкретный случай будет непросто.
После принятия поправок к УК РФ эксперты высказывали опасения, что новая статья автоматически превращает в преступников специалистов по информационной безопасности, которые работают с публичными утечками персональных данных. Минцифры тогда даже выпускало специальное разъяснение:
Специалистам по кибербезопасности часто приходится выяснять причины и источник утечек. Чтобы лучше противодействовать мошенникам, им приходится иметь дело с незаконно распространяемыми данными. Чтобы ИБ-специалисты могли не бояться уголовного преследования за свою работу, в законе установлены основания, при которых допускается обработка таких персданных. Например, для обеспечения защиты жизни, здоровья и других интересов граждан.
Исключения для специалистов по информационной безопасности прописаны прямо в Уголовном кодексе?
Нет. В примечании к статье 272¹ действительно есть одно исключение, но оно совсем другое:
Действие настоящей статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.
То есть вы можете спокойно сохранять в своем телефоне контакты людей, с которыми познакомились. Или записывать все в личный дневник. Но в случае спорных вопросов суд будет решать, перешли вы границу допустимого или нет. В самих законах это исключение подробно не объясняется.
О чем тогда говорит Минцифры?
Ведомство тут ссылается непосредственно на Федеральный закон «О персональных данных». Там приводится перечень случаев, когда допускается работа с обычными персональными данными, в том числе без согласия человека:
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
Для специальных категорий персональных данных это исключение еще шире:
обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно
Последнее исключение — это ведь про общественный интерес. Оно распространяется и на журналистов?
Судя по всему, да. То есть журналист имеет право работать со специальными категориями персональных данных даже без получения согласия своих героев. Например, если готовит материал о сексуализированном насилии учителей над ученицами. Или собирает информацию о судимости политиков.
А на «пробив» у журналиста формально есть право?
Мы не знаем. С обычными персональными данными (домашний адрес, телефонный номер, электронная почта и так далее) все обстоит чуть сложнее. Закон прямо упоминает право журналиста работать с ними, но делает одну важную оговорку:
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных
То есть СМИ не стоит обнародовать персональные данные, контактную информацию или соцсети несовершеннолетних детей чиновника-коррупционера.
Непонятно, как российский суд расценит действия журналиста, если он с помощью «пробива» нарушил незаконные интересы объекта своего внимания. Например, нашел незадекларированное имущество или выявил коррупционные связи.
При этом «пробив» в схожих целях используют и представители власти.
В каких еще схожих целях?
Например, «Единая Россия» использует «пробив» при проверке кандидатов, собирающихся принять участие в партийных праймериз.
В начале марта на сайте украинского расследовательского проекта Dallas был опубликован материал на основе утечки почты советника секретаря генерального совета «Единой России» Евгения Гнедова. Раньше он работал в системе ФСИН и возглавлял главное оперативное управление ведомства в звании генерал-лейтенанта внутренней службы. А теперь занимается проверкой проблемных кандидатов. В том числе на наличие судимостей и связей с организованной преступностью. И это не всегда становится преградой на пути к мандатам, судя по пометкам «по идеологическим причинам не исключить» или «возможности повлиять на решение нет» в таблице с результатами проверок.
В почте Гнедова, например, можно найти информацию о судье из Краснодарского края Николае Труханове, полученную с помощью «пробива» через телеграм-бот SPEKTR. Там есть его номер телефона, адреса электронной почты, паспортные данные, внутренний идентификатор телеграм-аккаунта и другая подобная информация, собранная в том числе по утечкам. Украинские издания ранее утверждали, что к созданию этого телеграм-бота причастны сотрудники российских силовых ведомств. Судя по предупреждению наверху страницы с досье, этот проект остается довольно нишевым:
КАК РЕЗУЛЬТАТЫ ОРД НЕ ПЕРЕДАВАТЬ!
А если я не кибербезопасник, журналист или чиновник и «пробиваю» кого-то в телеграм-боте, мне что-то грозит?
И этого мы тоже не знаем. Уже известны прецеденты, когда к ответственности по новой статье УК РФ привлекали и пользователей таких ботов. Правда, они пытались использовать полученные данные в коммерческих целях. Но это не значит, что аналогичных дел нет в отношении «обычных» пользователей — или, тем более, что они не могут возникнуть в будущем. Как было сказано выше, полученную незаконным путем информацию можно законно использовать лишь в очень ограниченном числе случаев, которые к «обычному» пользователю не относятся. Так что, если вы находитесь в России, полезным видится совет минимизировать или вовсе свернуть использование подобных сервисов. Даже для личных нужд.
Денис Дмитриев