Конкуренция норм об охране персональных данных: разграничение статьи 272.1 УК РФ и статьи 13.11 КоАП РФ

04.12.2023 в Государственную Думу Российской Федерации внесен законопроект, предусматривающий дополнение Уголовного кодекса Российской Федерации статьей 272.1 УК РФ. В данной статье содержится описание состава преступления, связанного с незаконной обработкой компьютерной информации, содержащей персональные данные. В пояснительной записке в подтверждение необходимости такого нововведения указывалось, что «с января по август 2022 года в России произошли утечки 197 млн записей персональных данных и платежной информации. Черный рынок персональных данных постоянно растет, а основными источниками утечек являются сторонние злоумышленники или сами сотрудники компаний, которые продают или отдают бесплатно конфиденциальные данные своих клиентов. По отдельным оценкам в 2020 году общий ущерб от утечек личных данных превысил 3 млрд рублей, а в 2022 году указанный ущерб уже превысил 8 млрд.рублей. Так, на декабрь 2021 года в теневом сегменте сети «Интернет» («даркнет») циркулирует более 2000 баз данных общим объемом более 10 Тб, содержащие персональные данные о 80 % населения России. Общий объем официально выявленных утечек персональных данных за 2022 г. (о которых официально сообщалось в СМИ) — более 1130 млн записей, содержащие сведения о персональных данных граждан Российской Федерации» 1.

Признавая очевидную значимость указанной законодательной инициативы, у рецензентов законопроекта с самого начала возник вопрос о разграничении статьи 272.1 УК РФ и статьи 13.11. КоАП РФ. Так, в официальном отзыве на проект, данном заместителем Председателя Верховного Суда Российской Федерации Давыдовым В. А., указывалось на то, что «в диспозиции части 1 проектной статьи 272.1 УК РФ отсутствуют криминообразующие признаки, позволяющие отграничить соответствующее преступление от противоправных действий, предусмотренных статьей 13.11. КоАП РФ, что может привести к конкуренции данного уголовно-правового запрета со статей 13.11. КоАП РФ и существенно усложнить применение проектной нормы на практике» 2.

Законодатель постарался учесть высказанные замечания, однако практика правоприменения данной статьи демонстрирует факт отсутствия на сегодня однозначного подхода к разграничению преступления и правонарушения в области обработки персональных данных. В связи с чем имеется необходимость теоретического осмысления уже принятой и действующей нормы уголовного закона.

Материал и методы

При подготовке публикации использованы нормативноправовые акты, регламентирующие вопросы обработки персональных данных и ответственности за нарушение законодательства о персональных данных. Ввиду исключительно короткого периода действия статьи 272.1 УК РФ в настоящий момент отсутствует судебная практика по этому составу преступления, нет должной научной разработанности исследуемого в статье вопроса. В связи с этим в настоящем исследовании прежде всего сделан акцент на анализе текста вновь принятого закона, который изучен с помощью формально-логического и сравнительно-правового метода. Предмет исследования, учитывая допустимый объем работы, сведен к сравнительному анализу ч. 1 ст. 272.1 УК РФ и ч. 1 и ч. 2 ст. 13.11 КоАП РФ. При этом проведено сравнение указанных составов по объективной и субъективной стороне, по предмету посягательства.

Описание исследования

Часть 1 статья 13.11 КоАП РФ предусматривает ответственность за обработку персональных данных в случаях или в целях, не предусмотренных законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния.

Часть 2 данной статьи говорит об ответственности за обработку персональных данных без согласия субъекта персональных данных.

Административная ответственность по обоим частям возникает только в случаях, если эти действия не содержат уголовно наказуемого деяния, на что прямо указано в ст. 13.11 КоАП РФ. Таким образом, законодатель ориентирует правоприменителя на приоритет уголовного закона, и только, если проверяемое деяние не подпадает по какому-либо признаку под состав преступления, возникает необходимость оценивать наличие в деянии признаков административного правонарушения.

Разграничение по предмету посягательства

Статья 13.11 КоАП РФ говорит о персональных данных, тогда как уголовная статья сужает предмет преступления до «компьютерной информации, содержащей персональные данные». Из этого можно было бы сделать вывод, что любая незаконная обработка персональных данных в виде компьютерной информации — это 272.1 УК РФ, а предметом ст. 13.11 КоАП РФ являются персональные данные в любом другом виде (форме), кроме компьютерной (например, на бумажных носителях). Такой вывод является неверным.

Для уголовного преследования нужна не любая компьютерная информация, содержащая персональные данные, а только такая информация, которая получена путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, на что прямо указал в статье законодатель. Незаконный путь получения информации становится определяющей характеристикой предмета преступного посягательства.

Но означает ли это, что обработке данных, предусмотренной ст. 272.1 УК РФ, должно предшествовать какое-то предикатное преступление или правонарушение 1? Наш ответ будет отрицательным, так как информация может попасть к преступнику различными путями.

Субъект преступления, предусмотренного ст. 272.1 УК РФ, может иметь изначально законный доступ к средствам обработки и хранения компьютерной информации. Однако, действуя вопреки целям, для дости- жения которых ему предоставлен доступ, такое лицо может произвести незаконное копирование и распространение информации, содержащей персональные данные.

В качестве примера можно привести публикацию с сайта Следственного комитета Российской Федерации, согласно которой в феврале 2025 года начальник одного из отделов филиала публично-правовой компании в Республике Карелии по просьбе знакомых незаконно передавал им содержащиеся в едином реестре недвижимости персональные данные людей, а также сведения об их имуществе. По данному факту возбуждено уголовное дело по п. «г» ч. 3 ст. 272.1 УК РФ 2.

Второй вариант, когда лицо, не имея законных оснований, осуществляет неправомерный доступ к компьютерной информации, например, осуществляет хакерский взлом интернет-сайта. Ранее такие действия квалифицировались по ст. 272 УК РФ — неправомерный доступ к охраняемой законом компьютерной информации, если деяние повлекло копирование данной информации. Однако, Федеральный закон от 30.11.2024 № 421-ФЗ кроме того, что внес в Уголовный кодекс Российской Федерации новую статью 272.1, он также изменил и статью 272 УК РФ. Теперь данная статья предусматривает уголовную ответственность за неправомерный доступ к охраняемой компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, за исключением случаев, предусмотренных статьей 272.1 УК РФ. Таким образом, неправомерный доступ к компьютерной информации с персональными данными с последующей обработкой данной информации полностью охватывается ст. 272.1 УК РФ и не требует дополнительной квалификации по ст. 272 УК РФ.

Третий вариант, когда лицо, осуществляющее незаконную обработку компьютерной информации, получило ее от третьего лица. В этом случае он будет подлежать уголовной ответственности, только если знал о неправомерности получения данной информации, потому что преступление, предусмотренное ст. 272.1 УК РФ, может совершаться исключительно с прямым умыслом, который подразумевает осознание лицом того, что он работает изначально с незаконно полученной информацией.

Вместе с тем автор настоящий статьи на практике столкнулся с несколько иной трактовкой предмета и субъективной стороны данного преступления. Так, после вступления в силу статьи 272.1 УК РФ сотрудниками правоохранительного органа проведено оперативно-разыскное мероприятие — обследование помещений компании. В ходе обследования изъяты служебные компьютеры сотрудников, на которых обнаружены файлы, содержащие данные физических лиц.

Сотрудники правоохранительных органов опросили указанных физических лиц и получили от них пояснения о том, что они не давали согласия на обработку персональных данных сотрудникам данной компании. При таких обстоятельствах правоохранители посчитали, что имеются все необходимые признаки состава преступления, предусмотренного ст. 272.1 УК РФ: нет согласия на обработку, значит, совершается преступление, в связи с чем нет необходимости устанавливать источник происхождения компьютерной информации.

Однако такой подход представляется неверным. В данной ситуации можно говорить лишь о наличии признаков правонарушения, предусмотренного ч. 2 ст. 13.11 КоАП РФ (обработка персональных данных без согласия). Для применения же ст. 272.1 УК РФ необходимо установить источник происхождения компьютерной информации и факт осведомлённости лица о неправомерности данного источника. Нет никакой презумпции незаконности происхождения информации с персональными данными, но есть презумпция невиновности.

Тем более, что компьютерная информация, содержащая персональные данные, может быть получена из открытых, общедоступных источников или от лиц, которые заявляли о правомерности нахождения у них данной информации и наличии у них права на ее передачу третьим лицам. При таких обстоятельствах не будет состава преступления у лица, полагавшего, что получило доступ к информации на законных основаниях.

Для примера таких законных общедоступных источников информации, содержащих персональные данные, можно привести многочисленные сайты государственных органов 1:

– сайт Федеральной службы судебных приставов содержит информацию об исполнительных производствах в отношении физических лиц, сведения о розыске, сведения из реестра должников по алиментам;

– сайт Федеральной налоговой службы России содержит сведения об индивидуальных предпринимателях (ФИО, их телефоны, почта (ранее были и адреса регистрации), сведения о лицензиях, сведения об уплаченных суммах налогов и сборов, о наложенных обеспечительных мерах. На сайте производится проверка статуса налогоплательщика, сведения о приостановленных счетах, сведения о физических лицах, являющихся учредителями (участниками) нескольких организаций. На сайте также можно проверить ИНН на действительность, получить сведения о дисквалификации конкретного физического лица (запрет на право занимать определенные должности);

– сайт «Прозрачный бизнес» также дает возможность получить сведения из ЕГРЮЛ, ЕГРИП, Реестра дисквалифицированных лиц, информацию о многократном участии физического лица в организациях, о руководителях, участниках юридических лиц и другую значимую информацию;

– сайт «Федресурс» (https: //fedresurs.ru/) содержит информацию из единого федерального реестра юридически значимых сведений о фактах деятельности юридических лиц, индивидуальных предпринимателей и иных субъектов экономической деятельности. На сайте можно получить информацию по физическим лицам, в том числе сведения о банкротстве физического лица, сведения о кредиторах физического лица, наличии обременений, лизинга и другое;

– сайты Федеральной нотариальной палаты (https: // и . На данных сайтах можно получить информацию о залогах движимого имущества: сведения о залогодателе и залогодержателе, сведения об имуществе, переданном в залог. Также можно получить сведения из реестра наследственных дел, в том числе дату смерти физического лица.

– сайт публичных должностных лиц (https: //declarator.org/). На данном сайте можно получить доступ к налоговым декларациям лиц, занимающих или занимавших в прошлом публичные должности, из которых можно узнать его дату рождения, доход за год, наличие недвижимости, автомобилей, семейное положение (наличие супруга, детей);

• –    сайт МВД России (https://мвд.рф) содержит различные сервисы проверки физических лиц: нахождение в розыске лица (в т. ч. место рождения, национальность); проверка действительности паспорта, разрешения на работу и патента на осуществление трудовой деятельности;

• –    сайт Федеральной службы исполнения наказания ( https://fsin.gov.ru ) содержит сведения о разыскиваемых лицах;

• –    сайт, содержащий реестр лиц, уволенных со службы в связи с утратой доверия за совершение коррупционных правонарушений ( https://gossluzhba.gov.ru/ reestr);

• –    сайт Минюста России ( https://minjust.gov.ru/ ), на котором находится реестр иностранных агентов и сведения о них.

Перечень открытых источников можно продолжать еще долго, но главное — из него следует, что в сети «Интернет» для общего доступа размещено огромное число сведений о конкретных физических лицах. Использование данных сайтов и государственных сервисов для сбора данных не должно подпадать под действие статьи 272.1 УК РФ, так как отсутствует составообразующий признак — информация, полученная незаконным путем.

Не лишним будет отметить, что в пояснительной записке к законопроекту инициатор ведет диалог с вышеприведенным отзывом Верховного Суда Российской Федерации и указывает на доработку проекта в следующем ключе: «Таким образом, для целей уголовного законодательства конкретизирован объект преступного посягательства (компьютерная информация), которая содержит персональные данные, полученные незаконным путем. Это позволяет разграничить новый состав УК РФ от правонарушений, ответственность за которые предусмотрена Кодексом Российской Федерации об административных правонарушениях в статье 13.11 «Нарушение законодательства РФ в области персональных данных», а также иных составов преступлений» 1.

Разграничение по совершаемым действиям

Часть 1 ст. 272.1 УК РФ криминализирует следующие действия: незаконное использование, незаконную передачу (распространение, предоставление, доступ), незаконный сбор, незаконное хранение информации, содержащей персональные данные.

Статья 13.11 КоАП РФ говорит лишь о незаконной обработке персональных данных. При этом данная статья КоАП РФ является бланкетной и прямо отсылает к законодательству в области персональных данных.

Определение обработки персональных данных дано в Федеральном законе «О персональных данных» от 27.07.2006 № 152-ФЗ, согласно статье 3 которого обработка персональных данных — любое действие с персональными данными, включая сбор , запись, систематизацию, накопление, хранение , уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ) , обезличивание, блокирование, удаление, уничтожение персональных данных.

Исходя из буквального сопоставления указанных норм, можно было бы предположить, что ст. 272.1 УК РФ не охватывает такие виды обработки персональных данных, как запись, систематизацию, накопление, уточнение (обновление, изменение), извлечение, обезличивание, блокирование, удаление, уничтожение персональных данных. Таким образом, указанные действия должны подпадать под действие статьи 13.11. КоАП РФ. Вместе с тем вполне допускаем, что практика применения ст. 272.1 УК РФ такие действия как запись, систематизацию, накопление, уточнение, обезличивание и извлечение будет трактовать как хранение, использование или сбор персональных данных соответственно.

При такой трактовке для административной ответственности должно остаться только блокирование, удаление и уничтожение персональных данных, хранящихся в виде компьютерных файлов.

Но, как говорилось выше, в статью 272 УК РФ также внесено изменение. Теперь данная статья предусматривает уголовную ответственность за неправомер- ный доступ к охраняемой компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, за исключением случаев, предусмотренных статьей 272.1 УК РФ. В связи с этим встает вопрос: «за исключением случаев, предусмотренных статьей 272.1 УК РФ» относится только к копированию компьютерной информации? Если нет и законодатель имел при этом ввиду и уничтожение, и блокирование, и модификацию, то в объективную сторону ст. 272.1 УК РФ будут входить и такие незаконные способы обработки компьютерной информации с персональными данными как блокирование, удаление и уничтожение.

Таким образом, практика применение статьи 272.1 УК РФ может пойти по пути как узкого, буквального, так и максимально широкого толкования, при котором уголовная ответственность будет наступать за любое действие, входящее в понятие «обработка персональных данных», предусмотренного Федеральным законом «О персональных данных».

На наш взгляд такой расширительный подход будет необоснованным, особенно в случаях, связанных с обезличиванием, уничтожением и удалением компьютерной информации, содержащей персональные данные, полученные неправомерным путем. Исходя из пояснительной записки 2 к проекту закона о введении ст. 272.1 УК РФ, цель новой статьи — борьба с незаконным оборотом персональных данных, которые используются для совершения преступлений в отношении граждан. Уничтожение или обезличивание неправомерно полученных данных, напротив, исключает возможность их дальнейшего использования в преступных целях и не представляет той общественной опасности, которая необходима для уголовной криминализации деяния.

Разграничение по цели обработки данных

В юридических изданиях [3; 4] встречается точка зрения, что возможным способом преодоления конкуренции ст. 272.1 УК РФ и ст. 13.11 КоАП РФ является установление цели обработки персональных данных: при административном правонарушении цель обработки персональных данных изначально является законной, а при преступлении — нет.

С таким подходом вряд ли можно согласиться. Статья 5 Федерального закона «О персональных данных» прямо предусматривает, что одним из принципов обработки персональных данных является соблюдение законной цели такой обработки. Как указано в части 2 данной статьи, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Часть 1 статьи 13.11. КоАП РФ в качестве одного из альтернативных действий, образующих правона- рушение, предусматривает обработку персональных данных, несовместимую с целями сбора персональных данных.

При таких обстоятельствах ч. 1 ст. 13.11 КоАП РФ указывает на незаконную цель обработки как основание привлечения именно к административной ответственности.

В то же время часть 1 статьи 272.1 УК РФ вообще не предусматривает какую-либо цель в качестве необходимого признака состава преступления.

Таким образом, предложенный способ разрешении коллизии не основан на нормах законов.

Заключение и вывод

На сегодняшний день можно выделить один основной критерий, по которому необходимо разграничивать ч. 1 ст. 272.1 УК РФ и ч. ч. 1 и 2 ст. 13.11. КоАП РФ. Таким критерием является осведомленность лица, осуществляющего незаконную обработку компьютерной информации с персональными данными, об источнике происхождения данной информации. Если он знает, что данная информация получена незаконным путем, то можно вести речь о наличии в его действиях признаков состава преступления, если нет — то только об административном правонарушении.