Понятие персональных данных как предмета преступления

При этом персональные данные не только выступают автономным предметом преступления, но и имеют юридическое значение в структуре иных составов преступлений, будучи признаком объективной стороны при совершении мошенничества, вымогательства, легализации денежных средств. Наконец, актуальность проблемы усиливается доктринальными и правоприменительными пробелами, поскольку скорость технологического развития опережает темпы адаптации правового регулирования. Это порождает дискуссионные вопросы квалификации, связанные с отнесением к персональным данным агрегированных наборов информации, определением момента окончания преступления, разграничением ответственности и правовой оценкой новых форм посягательств. Таким образом, актуальность уголовно-правового исследования понятия персональных данных как предмета преступления носит комплексный, междисциплинарный характер и продиктована их новой социально-экономической ролью, интеграцией в механизм совершения разнородных преступных деяний, а также существенными пробелами в доктринальном осмыслении и правовой регламентации в условиях перманентной цифровой эволюции.

Следует отметить, что используемый в российском уголовном законе термин «персональные данные» предусмотрен в законодательстве иной отраслевой принадлежности (Ефимова, Семенов, 2021). Понятие, признаки, принципы и условия оборота персональных данных регламентированы Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Как следует из п. 1 ст. 3 указанного документа, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных дан-ных)1. Эта дефиниция, как представляется, включена в текст рассматриваемого закона в силу ратификации РФ Конвенции о защите физических лиц при автоматизированной обработке персональных данных, в рамках которой они означают любую информацию об определенном или поддающемся определению физическом лице («субъект данных»)2.

Совершенно очевидно, что изложенные дефиниции персональных данных не отличаются конкретикой. Более того, они даже не дают представления о юридическом содержании рассматриваемой категории. Например, цвет глаз или волос как признаки человека могут позволять его идентифицировать, но не сами по себе, а исключительно при наличии иной информации. При этом бесспорно и то, что приведенные в качестве примера сведения, хотя и являющиеся индивидуализирующими, не могут выступать предметом преступления.

В нормативных документах Европейского союза «под термином “персональные данные” понимается любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (“субъект данных”); идентифицируемое лицо – это лицо, которое может быть идентифицировано, прямо или косвенно, в частности, посредством таких идентификаторов, как имя, идентификационный номер, сведения о местоположении, идентификатор в режиме онлайн или через один или несколько признаков, характерных для физической, психологической, генетической, умственной, экономической, культурной или социальной идентичности указанного физического лица»3.

Следовательно, персональные данные – это не просто информация, относящаяся к определенному лицу, а сведения, позволяющие идентифицировать конкретного человека. В современной судебной практике к таким сведениям относятся: фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, сведения из документа, удостоверяющего личность, семейное положение, социальное положение, образование, национальность, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных4.

Номер телефона или адрес электронной почты считаются персональными данными только тогда, когда с их помощью можно идентифицировать конкретного человека – прямо или косвенно. Например, если номер закреплен за организацией, а не за сотрудником, он уже не относится к персональным данным, так как не указывает на физическое лицо5.

Согласно сложившейся судебной практике, ИНН физического лица относится к сведениям, позволяющим идентифицировать гражданина, т. е. считается персональными данными в смысле закона. Указанная позиция находит подтверждение в определениях Верховного Суда Российской Федерации от 26 сентября 2016 г. № 306-КГ16-117551, от 14 октября 2016 г. № 305-КГ16-131622, апелляционных определениях Московского городского суда от 28 июля 2016 г. по делу № 3328965, от 12 мая 2016 г. по делу № 33-185463.

Как отмечается в юридической литературе, в Федеральном законе «О персональных данных» «содержится логическая ошибка, указывающая, что “данные – это данные”» (Степанян, 2023: 147), поскольку определяющий термин «информация» – это тоже данные4. На наш взгляд, такую критику разделять неоправданно, так как персональные данные – это разновидность охраняемой законом информации, т. е. не что иное, как сведения и данные, но различающиеся признаками.

По мнению Н.А. Назарова, «представляется целесообразным обозначить этот термин не “персональные данные”, а “персональная (личная) информация”» (2024: 26). Однако эти терминологические перестановки не влекут за собой сущностных изменений и вряд ли обладают практическим значением.

Как пишет С.И. Гутник, «персональные данные – это информация, позволяющая идентифицировать физическое лицо (А), свободный оборот которой создает опасность причинения вреда законным интересам личности (Б) и по поводу которой установлен правовой режим конфиденциальности (В). <…> Под информацией, позволяющей идентифицировать физическое лицо, следует понимать совокупность логически связанных между собой сведений, отражающих в себе свойства и признаки событий, фактов, явлений, объектов окружающей действительности, которые предоставляют возможность познающему субъекту получить осведомленность об этом физическом лице – ее обладателе»5. Ознакомление с данным определением позволяет прийти к выводу о том, что существующая нормативная дефиниция таковой по своей сути не является. Объясняется это как не вполне уместной имплементацией положений из международных нормативных правовых актов, так и новизной института персональных данных, интенсивно развивающегося в последние годы.

С.И. Гутником абсолютно верно указано на то, что охраняемые законом персональные данные должны обладать способностью идентифицировать конкретное лицо. По нашему мнению, это главное в их определении. Потенциальная вредоносность распространения подобных сведений и режим их конфиденциальности – это уже вторичные свойства персональных данных. При этом автор связывает понятие персональных данных в том числе с имеющимся правовым регулированием в сфере оборота таковых. Представляется, что эти безусловно ценные научные знания все же выходят за рамки дефиниции персональных данных и в большей степени характеризуют уже не сами данные, а общественные отношения, складывающиеся в связи с их оборотом.

Е.В. Хохлова утверждает, что законодательное определение персональных данных не может быть использовано для целей уголовного права6. По ее мнению, эта дефиниция создана для других отраслей права. Контраргументы для подобных выводов подобрать сложно, но и согласиться с автором тоже непросто, поскольку нормативно такие исключения не установлены. Поэтому убедительнее выглядит точка зрения о несовершенстве имеющегося законодательного определения понятия персональных данных. Отсюда и некорректность его использования в уголовном праве.

Е.В. Хохлова предлагает понимать под персональными данными «зафиксированную с помощью материального носителя или в нематериальной (идеальной) форме информацию (сведения) о физическом лице (субъекте персональных данных), охраняемую в режиме конфиденциальности (ограниченного доступа), на основании которой может быть осуществлена его однозначная иден-тификация»7. Как видно, это определение во многом воспроизводит идеи С.И. Гутника и развивает их посредством указания на фиксацию соответствующей информации в какой-либо форме. Однако целесообразность такого дополнения может быть поставлена под сомнение. Дело в том, что в существующих нормах уголовного закона вопрос о форме закрепления информации не обладает юридическим значением.

По нашему мнению, главной сущностной особенностью персональных данных является возможность определения с их помощью конкретного человека. Это исходное положение, которое обусловливает дальнейшие функциональные особенности такой информации. Персональные данные позволяют идентифицировать человека, и именно поэтому их оборот охраняется в том числе нормами уголовного права. Все другие их признаки носят вторичный характер.

Как верно указано в действующей нормативной дефиниции, персональные данные – это всегда информация, относящаяся к лицу. При этом неважно, к определенному или определяемому лицу. Но в обозначенной формулировке не хватает дополнения о том, что соответствующие сведения позволяют идентифицировать лицо. Таким образом, под персональными данными в уголовном праве следует понимать информацию, относящуюся к определенному физическому лицу и позволяющую его идентифицировать.

В рамках правового регулирования обработки персональных данных можно выделить систему взаимосвязанных принципов, определяющих ее легитимные основания и пределы. Фундаментом всей процедуры является принцип законности и добросовестности, требующий, чтобы обработка изначально осуществлялась на правомерной и справедливой основе.

Далее ключевое значение приобретает принцип целевого ограничения и целесообразности. Он предполагает, что сбор и обработка данных должны быть строго ограничены достижением конкретных, заранее сформулированных и законных целей. Недопустимы обработка, несовместимая с изначальными целями информирования субъекта, а также объединение информационных баз для несовместимых между собой задач. Из этого напрямую вытекает требование, что обрабатываться должны лишь те данные, которые минимально необходимы и строго соответствуют заявленным целям, исключая их избыточность (Хозяинов, 2025: 80).

Содержательный аспект регулирования раскрывается в принципе достоверности и актуальности. Согласно ему оператор обязан обеспечивать точность, полноту и в необходимых случаях актуальность обрабатываемых данных по отношению к поставленным целям, принимая меры по удалению или уточнению неполных либо недостоверных сведений (Стрельникова, 2022: 169).

Наконец, принцип ограничения хранения устанавливает временные рамки легитимности владения данными. Хранение должно осуществляться в форме, позволяющей идентифицировать субъекта, лишь в течение периода, требуемого для достижения целей обработки (Стрельникова, 2022: 170). По истечении этого срока или при утрате практической необходимости в использовании персональные данные подлежат уничтожению или обезличиванию, если иное прямо не предусмотрено действующим законодательством1.

В современной юридической литературе зарождается вектор рассмотрения проблем охраны оборота персональных данных применительно к различным сферам общественных отношений – медицины, социальных сетей, трудовых отношений. Так, А.Ю. Сивцова выделяет специальные персональные данные осужденных к лишению свободы, нуждающиеся в уголовно-правовой охране: «факт осуждения, срок осуждения, сведения о применяемом воспитательном воздействии, иные сведения, сбор, использование и хранение которых обусловлены фактом отбывания наказания»2.

Одновременно следует указать на то, что в различных сферах общественных отношений оборот персональных данных может иметь свою специфику, например определяемую специальными видами тайн (личной, семейной, медицинской, профессиональной, налоговой, банковской и т. д.) (Радова, 2023: 142). Специфика имеется и в связи с обозначением в Федеральном законе «О персональных данных» отдельных разновидностей подобной информации. Так, выделяются категории персональных данных, подлежащих обработке при наличии специальных оснований и условий, – это сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (ч. 1 ст. 10). Отдельное регулирование предусмотрено для биометрических персональных данных (Чукреев, 2022: 112) – сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных (ч. 1 ст. 11)3.

Таким образом, институт персональных данных на современном этапе получил новое развитие, которое выразилось в том числе в установлении уголовной ответственности за нарушения в сфере оборота персональных данных. В то же время ввиду новизны данных уголовно-правовых предписаний актуализировались вопросы бланкетной составляющей норм об уголовной ответственности за преступления в сфере оборота персональных данных. При этом имеющаяся законодательная формулировка определения рассматриваемого понятия оказалась не вполне приемлемой для целей уголовного закона.

Персональные данные как предмет преступления подразумевают под собой информацию, относящуюся к определенному физическому лицу и позволяющую его идентифицировать.