В Государственную думу внесен законопроект, которым предполагается кардинально ужесточить ответственность за нарушение требований к хранению персональных данных. Изменения коснутся как административного, так и уголовного законодательства.
На первый взгляд кажется, что все просто. Раз у нас эпоха цифровизации, то и личные данные стали предметом и товаром, а значит, их используют не только в маркетинговых, но и в криминальных целях. Но с точки зрения закона разница не существует – если нет согласия владельца, то нет и права на использование. Тот самый случай, когда молчание значит "нет". Осталось закрепить этот принцип отдельным законом.
И действительно, в нынешних условиях наказание за несоблюдение правил обращения с персональными данными никак не способствует недопущению правонарушений. Так, административная ответственность за утечку личных сведений предусматривает максимальные штрафы для граждан в размере 6, 12 или 20 тысяч рублей в зависимости от квалификации, а для организаций – 90, 150, 300 и 500 тысяч. И только если доступ к данным получен путем взлома или иного несанкционированного доступа к компьютерным сетям, наступает уголовная ответственность. Но это только на бумаге, а на деле применить тот или иной квалифицирующий признак крайне затруднительно. И злоумышленники чаще всего отделываются штрафами.
Что же предлагают законодатели? Теперь квалифицировать правонарушения будут по количеству "утечек". Если в чужие руки попало от 1 до 10 тыс. единиц персональных данных, то штраф для компаний и ИП составит 3–5 миллионов рублей, от 10 до 100 тыс. единиц – уже 10 миллионов и так далее, до 500 миллионов. Ужесточится и уголовное наказание за незаконный оборот персональных данных – вплоть до 10 лет заключения.
Изменения, без сомнения, ожидаемы и идут в ногу со временем, но, как обычно, все будет зависеть от того, как сформируется правоприменительная практика. Кто, как и в какой момент будет ловить преступников? Как правильно документировать противоправные деяния, если все они производятся с использованием "облачных" технологий? Получается, чтобы провести все необходимые оперативно-розыскные мероприятия, нужно или обладать специальными знаниями в IT, или поймать преступника за руку, когда в руке в буквальном смысле находятся тысячи единиц персональных данных. Если говорить об административных правонарушениях, то здесь КоАП предоставляет еще меньше процессуальных возможностей сотрудникам надзорных органов.
При детальном ознакомлении с законопроектом остаются вопросы, как простым гражданам защитить свои права. К примеру, вам звонят с предложением вылечить зубы или приобрести квартиру в новостройке. При этом вы не давали разрешение использовать ваш номер телефона ни стоматологической клинике, ни строительной компании. Налицо нарушение прав. Как их восстановить?
Теоретически можно обратиться в правоохранительные органы, которые, в свою очередь, должны запросить у оператора связи запись разговора, отследить направление звонка, установить местонахождение колл-центра и наименование конкретного заказчика. И только тогда расследование сдвинется с мертвой точки. Но каков будет результат? Это никому не известно. И даже если в программе хранились сведения о тысячах субъектов, все это становится недоступным вследствие выдергивания шнура питания из розетки.
Законопроект, конечно, будет принят. И его санкционная составляющая станет хорошим подспорьем в борьбе с информационными пиратами. Но без четкого и ясного механизма реализации перспективы правоприменения могут оказаться туманными... Кажется, здесь мы находимся только в начале пути.
Александр ХАМИНСКИЙ, юрист