Проблемные вопросы уголовно-правовой охраны персональных данных
И.Р. Бегишев, Д.В. Кирпичников
Аннотация
Обосновывается необходимость проработки моделей уголовно-правовой охраны общественных отношений, обеспечивающих законный режим хранения, передачи и обработки персональных данных. Исследована детерминационная взаимосвязь между повышением роли цифровых технологий и возникновением криминологических рисков в области уголовно-правовой охраны персональных данных. На основе анализа имеющихся определений понятия «персональные данные» формулируется вывод об излишней абстракции данной дефиниции. Вносятся отдельные предложения по совершенствованию механизмов уголовно-правовой охраны персональных данных.
Ключевые слова: персональные данные, цифровые технологии, уголовно-правовая охрана, цифровая информация, предмет преступления.
Внедрение цифровых технологий во многие сферы человеческой деятельности в настоящее время стало очевидным фактом. Цифровая информация является неотъемлемой частью социальных практик [1, с. 10] и составляет основу современных информационных отношений [2-5].
Названными обстоятельствами предопределяется переход основных потоков данных в цифровое пространство, что образует криминологические риски их перехвата, копирования и незаконного использования.
В настоящее время имеется тенденция увеличения количества исковых заявлений о защите персональных данных в различных областях деятельности общества [6, с. 30]. Совершенно справедливы опасения, высказываемые в связи с неконтролируемой массовой рассылкой электронных сообщений в мессенджерах, содержащих персональные данные лиц и используемых для оказания на них неправомерного воздействия в корыстных целях [7, с. 37].
Усложнение порядка и способов использования современных цифровых устройств образует риски неправомерного получения информации о частной жизни пользователей третьими лицами, при этом зачастую пользователи формируют угрозу утечки данных собственным виктимным поведением, пренебрегая соображениями безопасного использования цифровых устройств и технологий.
Стоит согласиться с мнением О.С. Капинус, которая полагает, что «скорость и объемы обращающейся информации, а также относительная доступность ее противоправного получения, в том числе из государственных и частных баз данных, образуют необходимость усиления защиты конституционных прав и свобод человека и гражданина, закрепленных в ст.ст. 23 и 24 Конституции Российской Федерации, в том числе связанных с неприкосновенностью частной жизни, личной и семейной тайны при аккумулировании, передаче, копировании и использовании персональных данных» [8, с. 11].
В настоящее время возможность охраны общественных отношений, обеспечивающих защищенность персональных данных, наличествует только в пределах составов преступлений, описанных в ст.ст. 137 и 272 УК РФ. Однако вряд ли возможно утверждать, что признаки,описывающие объекты данных составов, исчерпывающе охватывают всю множественность персональных данных, неправомерное воздействие на которые способно образовать достаточную общественную опасность и повлечь тяжкие последствия.
Так, признак «сведения о частной жизни лица», характеризующий предмет состава ст. 137 УК РФ, не обеспечивает полноту защиты персональных данных как сведений, прямо или косвенно связанных с личностью. Вопросы толкования понятия «сведения о частной жизни лица» разъяснены в определении Конституционного Суда Российской Федерации от 28 июня 2012 г. № 1253, из которого следует, что «в понятие “частная жизнь” включается та область жизнедеятельности человека, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества или государства, если носит непротивоправный характер» [9]. Думается, что подобное толкование исключает возможность отождествления персональных данных и сведений о частной жизни лица, поскольку как минимум сведения о государственном регистрационном знаке транспортного средства, находящегося в собственности лица (соответственно, персональные данные), не являются сведениями о частной жизни лица, поскольку подлежат контролю со стороны государства.
Аналогичная ситуация складывается применительно к ст. 272 УК РФ, защищающей только те общественные отношения, которые охраняют персональные данные, обращающиеся в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Однако использование термина «электрические сигналы» не совсем точно, поскольку оно не учитывает волоконно-оптические и электромагнитные линии связи [4, с. 24], в которых также циркулирует информация, относящаяся к персональным данным.
Мы согласны с точкой зрения Р.Р. Гайфутдинова, полагающего, что «...объектом уголовно-правовой охраны ст. 272 УК РФ персональные данные становятся в случае их обработки в автоматизированных вычислительных системах в виде электронной информации» [10, с. 159].
Таким образом, с достаточной очевидностью образуется необходимость законодательного описания персональных данных как самостоятельного предмета состава преступления, что способно в полной мере исключить вышеописанную пробельность в охране общественных отношений.
Законодательное определение понятия, выступающего центром исследования, содержится в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных», согласно которому «персональными данными признается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных)» [11]. Указанное определение несколько диссонирует с понятием, изложенным в ст. 2 Федерального закона от 20 февраля 1995 г. № 24-ФЗ «Об информации, информатизации и защите информации» [12], согласно которому «к персональным данным следует относить сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Описанный дискурс определений не образует противоречия в правовом регулировании, поскольку последний из упоминаемых актов в настоящее время не действует. Однако мы находим возможным привести его в работе в целях иллюстрирования развития законодательной позиции относительно этого определения.
По нашему мнению, действующее определение понятия «персональные данные» обладает недопустимым уровнем законодательной абстракции, которая позволяет относить к рассматриваемой категории любую информацию, связанную с человеком. Относительную конкретизацию возможно обнаружить в положениях ст. 8 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»: «в общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных» [11]. Относительность конкретизации обусловлена употреблением оценочного признака «иные персональные данные», позволяющего относить к ним любую информацию лишь с тем ограничением, что источником ее распространения или предоставления должен быть непосредственно субъект персональных данных.
Для проведения сравнительно-правового анализа обратимся к положениям зарубежных правовых актов, раскрывающих рассматриваемое понятие. К примеру, согласно действующей редакции отраслевого закона Австрийской Республики, «персональные данные - информация, хранимая на носителе данных и имеющая отношение к некоему идентифицированному или имеющему высокую вероятность идентификации субъекту персональных данных» [13]. В данном определении обращает на себя внимание аналогичный отечественному законодательству уровень абстракции, вероятнее всего, вызванный фундаментальным характером правового акта.
Предположение о том, что законодательная абстракция присуща не только российскому праву, подтверждается при исследовании аналогичного закона Королевства Дания. В данном законе исследуемое понятие определяется следующим образом: «Слова “персональные данные” должны пониматься как обозначение данных, которые могут быть отнесены к идентифицируемым индивидуумам, даже если такое отнесение предполагает знание персонального регистрационного номера или любых подобных персональных средств идентификации такого индивидуума» [14].
Национальное законодательство Республики Беларусь содержит более узкие критерии определения персональных данных, хотя и включает такие формулировки, как «а также иные данные, позволяющие идентифицировать такое лицо» [15, с. 199].
Законодательство Республики Исландия «распространяет понятие “персональные данные” также на информацию о юридических лицах, указывая, что к персональным данным относятся данные, связанные с частными, финансовыми или иными делами индивидов, институтов, компаний и юридических лиц, которые эти лица обоснованно должны держать в секрете» [16].
Приводимая интерпретация закономерно требует некоторых пояснений. Во-первых, применять для целей уголовно-правовой охраны используемый в исландском законодательстве прием распространения понятия персональных данных на сведения о юридических лицах (хотя уголовно-процессуальным законодательством и предусмотрено, что потерпевшим является юридическое лицо в случае причинения вреда его имуществу или деловой репутации) не представляется возможным, поскольку общественные отношения, обеспечивающие охрану деловой репутации юридического лица, как обстоятельство, образующее характер общественной опасности, не являются достаточными для уголовной пенализации. Во-вторых, применение оценочного признака «данные, которые обоснованно должны держаться в секрете», создает риски формирования противоречивой судебной практики в части толкования понятия, не обеспечивает его формальную определенность, точность, ясность, недвусмысленность, согласованность и непротиворечивость в системе правового регулирования.
Вышеперечисленным не исчерпываются легальные определения понятия «персональные данные»; их синтез позволяет прийти к закономерному выводу об использовании излишней абстракции, что, возможно, вполне приемлемо для отраслевого законодательства, однако совершенно недопустимо применительно к конструированию состава преступления и закреплению его в уголовном законе. Сказанным мы исключаем возможность имплементации понятия, что предопределило бы переход к его самостоятельному формулированию, однако составление дефиниции также встречает существенные затруднения, вызванные дискурсом относительно окончательной формулировки понятия, и в научной среде. персональный риск защита информация
Так, некоторые исследователи интерпретируют персональную информацию (употребляемый термин синонимичен понятию «персональные данные») как «факты, сообщения и мнения, которые связаны с данным человеком и относительно которых можно было бы ожидать, что он считает их интимными и конфиденциальными и, следовательно, желает остановить или по крайней мере ограничить их циркуляцию» [17]. Оценивать данное определение как удовлетворяющее требованиям построения эффективного правового регулирования не представляется возможным. Отмечая, что персональная информация должна считаться человеком интимной, автор предоставляет субъекту неоправданно широкую дискрецию при выборе спектра персональных данных.
Существует также мнение о том, что для уголовно - правовой охраны персональных данных не требуется формулирования их определения и выделения в качестве признака самостоятельного состава преступления, а обеспечение защиты указанных отношений возможно путем введения в УК РФ отдельной нормы о похищении у гражданина конфиденциальной информации [18, с. 114]. При этом предметом предлагаемого состава, по мнению автора, необходимо обозначить «конфиденциальную информацию гражданина». Полагаем, что рассматривать данное предложение как конструктивное нет достаточных оснований, поскольку потенциал абстракции применяемого словосочетания значительно превышает официальную трактовку понятия «персональные данные», что, очевидно, не соответствует требованиям формальной определенности правового регулирования и влечет невозможность для граждан сообразовывать свое поведение с требованиями нормативно-правовых актов.
Мы выражаем солидарность с теми исследователями, которые считают, что одним из возможных способов сужения понятия персональных данных может выступать имплементация ограничительных принципов, согласно которым будет определяться необходимость распространения правового режима персональных данных в отношении конкретной информации [19, с. 81].
Действительно, вряд ли возможно достаточно полное и всестороннее законодательное описание понятия «персональные данные» как признака, характеризующего предмет состава преступления, поскольку последний не поддается нормативному закреплению. Весь многообразный спектр массивов сведений о лице, неправомерным воздействием на которые может быть создана угроза причинения существенного вреда охраняемым уголовным законом общественным отношениям, настолько широк, что возможностей юридической техники для его нормативного закрепления на современном этапе недостаточно.