Уголовная ответственность за незаконные действия с персональными данными

Федеральным законом от 30.11.2024 421-ФЗ в Уголовный кодекс Российской Федерации введена статья 272.1. УК РФ, устанавливающая уголовную ответственность за незаконные использование, хранение и передачу компьютерной информации, содержащей персональные данные. Принятие закона обосновано законодателем существенным ростом противоправных действий в отношении персональных данных, фактами незаконного использования личной информации при совершении различных преступлений, а также тем, что наказание, предусмотренное уголовным законом за преступления, связанные с незаконным использованием персональных данных, несопоставимо их общественно опасным последствиям. Закон вступает в силу 11 декабря 2024 года.

Автором публикации разбираются ключевые положения принятого закона, а также рассматриваются основные аспекты привлечения к уголовной ответственности по статье 272.1. УК РФ.


Текст закона

Статья 272.1. Уголовного кодекса Российской Федерации –

Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения.

  1. Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, за исключением деяний,  совершенных  в  отношении  компьютерной информации, содержащей персональные данные, предусмотренные частью второй настоящей статьи, –

наказываются штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до одного года, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок.

  1. Те же деяния, совершенные в отношении компьютерной информации, содержащей персональные данные несовершеннолетних лиц, специальные категории персональных данных и (или) биометрические персональные данные, –

наказываются штрафом в размере до семисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового, либо принудительными работами на срок до пяти лет, либо лишением свободы на тот же срок.

  1. Деяния, предусмотренные частью первой или второй настоящей статьи, совершенные:

а) из корыстной заинтересованности;

б) с причинением крупного ущерба;

в) группой лиц по предварительному сговору;

г) с использованием своего служебного положения, –

наказываются штрафом в размере до одного миллиона рублей или в размере заработной платы или иного дохода осужденного за период до трех лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо принудительными работами на срок до пяти лет со штрафом в размере до одного миллиона рублей или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до шести лет со штрафом в размере до одного миллиона рублей или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

  1. Деяния, предусмотренные частью первой, второй или третьей настоящей статьи, сопряженные с трансграничной передачей компьютерной информации, содержащей персональные данные, и (или) трансграничным перемещением носителей информации, содержащих персональные данные, –

наказываются лишением свободы на срок до восьми лет со штрафом в размере до двух миллионов рублей или в размере заработной платы или иного дохода осужденного за период до трех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до четырех лет или без такового.

  1. Деяния, предусмотренные частью первой, второй, третьей или четвертой настоящей статьи, если они повлекли тяжкие последствия либо совершены организованной группой, –

наказываются лишением свободы на срок до десяти лет со штрафом в размере до трех миллионов рублей или в размере заработной платы или иного дохода осужденного за период до четырех лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет или без такового.

  1. Создание и (или) обеспечение функционирования информационного ресурса (сайта в сети «Интернет» и (или) страницы сайта в сети «Интернет», информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей персональные данные, полученной незаконным путем, –

наказываются штрафом в размере до семисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового, либо принудительными работами на срок до пяти лет со штрафом в размере до семисот тысяч рублей или иного дохода осужденного за период до двух лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере до семисот тысяч рублей или иного дохода осужденного за период до двух лет и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двух лет или без такового.

Примечания. 1. Действие настоящей статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд.

  1. Под трансграничным перемещением носителей информации, содержащих указанную в настоящей статье компьютерную информацию, в настоящей статье понимается совершение действий по ввозу на территорию Российской Федерации и (или) вывозу с территории Российской Федерации машиночитаемого носителя информации (в том числе магнитного и электронного), на который осуществлены запись и хранение такой информации.

Понятие компьютерной информации, содержащей персональные данные

Согласно пункту 1 статьи 3 Федерального закона от 27 июля 2006 года 152-ФЗ под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, то есть субъекту персональных данных.

К такой информации относятся: фамилия, имя, отчество; год, месяц, дата рождения; место рождения; ИНН; адрес; телефон; семейное положение; социальное положение; имущественное положение; образование; профессия; занимаемая должность; стаж работы; доходы; иная информация (письмо Минкомсвязи России от 28.08.2020 N ЛБ-С-074-24059). Следует отметить, что абонентский номер и адрес электронной почты признаются персональными данными, если они относятся именно к физическому лицу. Если же абонентский номер или адрес почты принадлежат юридическому лицу, они не рассматриваются в качестве персональных данных.

Под компьютерной информацией согласно примечанию к статье 272 УК РФ понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи. Указанные сведения могут содержаться как в памяти ЭВМ или других компьютерных устройств, так и на любых внешних электронных носителях компьютерной информации.

С учетом вышеприведенных правовых понятий, компьютерной информацией, содержащей персональные данные в понимании уголовного закона, признаются прямо или косвенно относящиеся к конкретному физическому лицу сведения, представленные в форме электрических сигналов в памяти ЭВМ или на внешних электронных носителях информации.


Комментарий к части первой статьи 272.1. УК РФ

Условия наступления уголовной ответственности

Первостепенно следует отметить ключевое условие наступления уголовной ответственности по статье 272.1. УК РФ – ответственность за действия, связанные  с неправомерным оборотом персональных данных в электронной форме, наступает только в том случае, если эти данные были изначально получены незаконным путем, а именно:

  • путем неправомерного доступа к средствам обработки, хранения информации;
  • путем вмешательства в функционирование средств обработки, хранения информации;
  • иным незаконным путем.

Если же персональные данные, например, в обход положений закона, соглашения или договора были проданы лицом, обладающими ими на легитимной основе (оператором), то уголовная ответственность по статье 272.1. УК РФ на него не распространяется.

Неотъемлемым условием привлечения к уголовной ответственности по статье 272.1. УК РФ является одновременное наличие двух составляющих в действиях виновного лица:

  • незаконный способ завладения персональными данными в электронном виде и
  • незаконные действия, связанные с их распоряжением.

Наказуемые действия по обращению с персональными данными

Использование персональных данных, то есть совершение любых действий, состоящих в их практическом применении, например, для организации деятельности по обзвону телефонных абонентов в целях рекламирования товаров и услуг; для оформления ложных кредитов и подложных документов.

Передача  (распространение, предоставление, доступ) персональных данных. Передачей данных признаются действия, связанные с продажей, рассылкой персональных данных, размещением их на серверах, предназначенных для удаленного обмена файлами, предоставлением персональных данных по запросам, предоставлением возможности обращения к источнику хранения информации с персональными данными конкретным лицам или неопределенному кругу лиц и т.д.

Сбор персональных данных, то есть деятельность по систематизации, накоплению, уточнению (обновлению, изменению) и извлечению персональных данных.

Хранение персональных данных, то есть совершение любых действий, связанных с нахождением данных сведений в фактическом пользовании и владении лица.

Наказуемые действия, связанные с противоправным получением персональных данных

Неправомерным доступом к средствам обработки, хранения информации признается обращение к ним лица, не наделенного соответствующими полномочиями, осуществленное без согласия законного обладателя компьютерной информации, содержащей персональные данные. Незаконным также признается доступ, осуществленный в нарушение установленного действующими законами и (или) правовыми актами порядка.

Вмешательством в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей признается целенаправленное программное воздействие на ЭВМ, серверы, информационно-телекоммуникационные сети, которое нарушает установленный процесс обработки, хранения, передачи компьютерной информации, что позволяет незаконно завладеть компьютерной информацией, содержащей персональные данные.

Иным незаконным путем получение компьютерной информации, содержащей персональные данные, могут признаваться действия, связанные с приобретением компьютерной информации с персональными данными, в том числе на носителе, лицом не полномочным на их обработку и использование, хищение носителя информации при условии, что лицо достоверно осознавало нахождение на нем персональных данных и т.д.

Статья 272.1. УК РФ

Персональные данные несовершеннолетних / Специальные категории персональных данных / Биометрические персональные данные (часть вторая статьи 272.1. УК РФ)

Повышенная уголовная ответственность за совершение неправомерных действий предусмотрена частью второй статьи 272.1. УК РФ в отношении нижеперечисленного перечня персональных данных.

  1. Персональные данные несовершеннолетних лиц. Особые требования к правовой охране персональных данных несовершеннолетних лиц действующим законодательством Российской Федерации не предусмотрены. К защищаемым данным несовершеннолетних относится тот же перечень сведений, что и в отношении лиц, достигших 18-летного возраста. По мнению Минкомсвязи России к персональным данным несовершеннолетнего лица дополнительно относятся сведения, содержащиеся в свидетельстве о рождении; персональная информация, содержащаяся в личном деле обучающегося и в классном журнале (письмо от 28.08.2020 ЛБ-С-074-24059).
  2. Специальные категории персональных данных, то есть данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также данные о судимости (пункты 1 и 3 статьи 10 Закона о персональных данных).
  3. Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (статья 11 Закона о персональных данных).

Квалифицирующие признаки части третьей статьи 272.1. УК РФ

Пункт “а” – корыстной заинтересованностью признается совершение неправомерных действий лицом с целью получения выгоды имущественного характера, например, продажа компьютерной информации, содержащей персональные данные, предоставление к ней доступа на платной основе.

Пункт “б” – крупным ущербом признается ущерб, сумма которого превышает один миллион рублей (примечание № 2 к статье 272 УК РФ).

Пункт “в” – преступление признается совершенным группой лиц по предварительному сговору, если в нем участвовали лица, заранее договорившиеся о совместном совершении преступления (часть 2 статьи 35 УК РФ).

Пункт “г” – преступление признается совершенным с использованием своего служебного положения, когда оно совершено должностных лицом, государственным или муниципальным служащим при исполнении своих обязанностей, а также лицом, выполняющим управленческие функции в коммерческой или иной организации.


Квалифицирующие признаки части четвертой статьи 272.1. УК РФ

Трансграничная передача персональных данных – это распространение персональных данных на территории иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных)

Трансграничным перемещением носителей информации, признается их физическое перемещение за пределы Российской Федерации (примечание 2 к статье 272.1. УК РФ).


Квалифицирующие признаки части пятой статьи 272.1. УК РФ

Тяжкие последствия. Указанный квалифицирующий признак преступления относится к категории оценочных. Согласно пункту 14 постановления Пленума Верховного Суда РФ от 15.12.2022 № 37 под тяжкими последствиями как квалифицирующим признаком в статьях 272 – 274.1. УК РФ следует понимать, в частности, длительную приостановку или нарушение работы предприятия, учреждения или организации, получение доступа к информации, составляющей охраняемую законом тайну, предоставление к ней доступа неограниченному кругу лиц, причинение по неосторожности смерти, тяжкого вреда здоровью хотя бы одному человеку и т.п.

Преступление признается совершенным организованной группой, если оно совершено устойчивой группой лиц, заранее объединившихся для совершения одного или нескольких преступлений (часть 3 статьи 35 УК РФ).


Ответственность за создание и (или) обеспечение функционирования информационного ресурса с персональными данными (часть шестая статьи 272.1. УК РФ)

Создание информационного ресурса представляет собой деятельность, направленную на разработку, подготовку сайта / страницы сайта / информационной системы, в том числе путем внесения изменений в существующие информационные продукты, заведомо предназначенные для незаконных хранения, передачи компьютерной информации, содержащей персональные данные, полученной незаконным путем.

Если сайт был создан разработчиком в легитимных целях (шаблон сайта), но впоследствии сайт был адаптирован третьим лицом для незаконного хранения и передачи информации с персональными данными, действия разработчика не образуют состава преступления. Действия же третьего лица, адаптировавшего сайт для распространения  персональных данных, могут расцениваться как обеспечение функционирования информационного ресурса.

В качестве неправомерных действий по обеспечению функционирования сайта или информационной системы могут также расцениваться следующие действия по обеспечению их работоспособности: регистрация лицом домена для создаваемого сайта и оплата услуг по продлению доменного имени; оплата услуг хостинга сайта; размещение сайта на сервере на безвозмездной основе; администрирование и техническая поддержка сайта или информационной системы; оказание услуг по продвижению сайта (SEO-услуг) и его рекламированию; представление данных для регистрации ботов в мессенджерах, предоставление компьютерной техники для создания и поддержания информационного ресурса и т.д.

Лицо может быть подвергнуто уголовному преследованию за вышеуказанные действия только при условии, что оно достоверно знало об их направленности на обеспечение функционирования сайта или информационной системы, заведомо предназначенных для незаконного хранения, передачи компьютерной информации, содержащей персональные данные, ранее полученной незаконным путем.

Адвокат Павел Домкин