Персональные данные как предмет преступления статьи 137 Уголовного кодекса Российской Федерации



В рамках данной статьи раскрываются основные правоприменительные проблемы квалификации персональных данных в качестве предмета преступления по нарушению неприкосновенности частной жизни в соответствии с ч. 1 ст. 137 УК РФ. Автором делается вывод, что существующий уголовно-правовой запрет в части незаконного собирания или распространения персональных данных не обеспечивает их полноценную уголовно-правовую защиту, ввиду исключения из предмета рассматриваемого преступления сведений однозначного идентифицирующего характера (косвенные персональные данные), общедоступных персональных данных и персональных данных, которые незаконно стали общедоступными в смысле регуляторного законодательства, а не охранительного.

Ключевые слова: персональные данные, уголовное право, неприкосновенность частной жизни, конфиденциальность, предмет преступления.

This article reveals the key law problems of personal data as the object of a crime in accordance with Part 1 of Article 137 of the Criminal Code of the Russian Federation. The author concludes that the existing criminal law prohibition regarding the illegal collection or dissemination of personal data does not provide their full-fledged criminal legal protection, due to the exclusion of unambiguously identifying information (indirect personal data), publicly available personal data and personal data that illegally became publicly available in the sense of regulatory legislation, and not protective.

Keywords: personal data, criminal law, privacy, confidentiality, object of a crime.

В уголовном законодательстве РФ закреплено «монистическое» понимание защиты приватности, в рамках которой не выделяется самостоятельная защита персональных данных. Во многих случаях персональные данные включаются в категорию сведений о частной жизни, составляющих личную либо семейную тайну, в соответствии с ч. 1 ст. 137 УК РФ. Данное преступление заключается в незаконном собирании или распространении сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространении этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации.

В законодательстве РФ закреплен широкий подход к пониманию персональных данных как любой информации, относящейся прямо или косвенно к определенному или определяемому физическому лицу. Определение персональных данных в соответствии с ч. 1.1 ст. 3 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» (152-ФЗ) возможно разделить на следующие составляющие:

1. «Любая информация». Согласно п. 1 ст. 2 ФЗ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ (149-ФЗ) «информация — это сведения (сообщения, данные) независимо от формы их представления». В свою очередь понятие «сведений» в законодательстве не приводится, ввиду чего, пояснение юридического термина остается не завершенным. Таким образом, все персональные данные являются информацией, т. е. сведениями в любой форме — это может быть аудио- или видеоформат, печатный или электронный документ, фото или отпечатки пальцев и даже подпись лица, но не вся информация о лице является персональными данными. Значение термина наполняется с помощью судебной практики и разъяснений надзорных органов ввиду несовершенства определения;
2. «относящаяся прямо или косвенно». Такая информация позволяет либо идентифицировать субъекта, либо только допускает такую возможность. Если в совокупности с другими данными наличествует возможность определить лицо, которому принадлежит информация — значит она носит косвенно идентифицирующий характер и на этом основании является персональными данными. Как отмечает Европейский суд справедливости, «использование слова «косвенно» в дефиниции персональных данных означает, что для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида» [6]. Таким образом, отсутствие прямой возможности идентификации субъекта автоматически не нивелирует режим персональных данных применительно к рассматриваемым сведениям;
3. «к определенному или определяемому физическому лицу». Персональные данные могут относиться только к физическому лицу (т. е. субъекту персональных данных). В ст. 6 149-ФЗ закреплена категория «обладатель информации», для которого устанавливается ряд полномочий, например, право«разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа» и т. д. Целью введения данной категории являлось создание аналогии с гражданскими категориями «собственник», «титульный владелец», но с учетом особенностей информации как нематериального объекта. Становится ли конкретное лицо обладателем информации должно решаться исходя из существа правоотношений, связанных с ее получением, передачей, производством и распространением, наличие же у лица доступа к информации не означает, что оно становится ее обладателем [2]. Таким образом, только обладатель информации может устанавливать правовой режим защиты, что совпадает с уголовно-правовым пониманием «обладателя» права на неприкосновенность частной жизни [3], который имеет исключительное право определять какие именно сведения, имеющие отношение к его частной жизни, должны оставаться в тайне.

Таким образом, категория персональных данных является очень гибкой и под ней могут понимать любые сведения о человеке в зависимости от контекста ситуации и возможности, ввиду данного контекста, идентифицировать лицо. Как указывалось в одном из пояснительных докладов к Конвенции о защите физических лиц при автоматизированной обработке персональных данных № 108, если данные позволяют выделить некоего индивида из множества лиц и использовать в отношении него особую «индивидуализированную» модель взаимодействия — то такое лицо является определяемым, а соответствующая информация — его персональными данными [8].

Перейдем к уголовно-правовому пониманию сведений о частной жизни лица.

Ни УК РФ, ни Постановление Пленума Верховного Суда РФ от 25.12.2018 № 46 «О некоторых вопросах судебной практики по делам о преступлениях против конституционных прав и свобод человека и гражданина (статьи 137, 138, 138.1, 139, 144.1, 145, 145.1 УК РФ)» (ППВС № 46) не дают определения сведений о частной жизни лица. Конституционный суд РФ указывает, что в понятие «частная жизнь» включается та область жизнедеятельности, которая относится к отдельному лицу, касается только его и не подлежит контролю со стороны общества и государства, если носит непротивоправный характер [1]. К предмету же ст. 137 УК РФ относятся только те сведения о частной жизни, которые составляют его личную или семейную тайну. Как справедливо указывает А. В. Серебренникова, понятие «тайна» используется законодателем для разграничения степени конфиденциальности информации [7, с. 40–52].

Так, согласно абз. 2 п. 2 ППВС № 46, не может повлечь уголовную ответственность собирание или распространение сведений о частной жизни лица, ранее ставших общедоступными либо преданных огласке самим гражданином или по его воле. В данном случае встает вопрос о степени соответствия режима «общедоступности» сведений в уголовно-правовом и информационно-правовом понимании.

В 152-ФЗ устанавливаются строгие требования для обработки персональных данных, которые раскрываются третьим лицам. Так, в соответствии с ст. 8, п. 5 ч. 2 ст. 10 152-ФЗ для обработки персональных данных в общедоступных источниках или для распространения специальной категории персональных данных требуется согласие субъекта в письменной форме. Еще одним режимом «общедоступности» персональных данных является режим персональных данных, разрешенных субъектом для распространения, для которого также в соответствии со ст. 10.1 152-ФЗ требуется согласие.

Таким образом, режим «общедоступности» персональных данных по смыслу 152-ФЗ определяет не нахождение данных сведений в открытом доступе, например, в социальных сетях, а согласие субъекта персональных данных на такое размещение, которое легитимизирует обработку. Правоприменитель строит данную конструкцию на том основании, что без такого согласия невозможно доказать, что персональные данные опубликованы по воле субъекта, а значит они обрабатываются незаконно и без согласия субъекта, то есть в нарушение п. 1 ч. 1 ст. 6 152-ФЗ.

Так, в одном из судебных дел указывается, что «говоря о персональных данных, сделанных субъектом персональных данных общедоступными, необходимы два условия: во-первых, персональные данные доступны неопределенному кругу лиц; во-вторых, персональные данные предоставлены непосредственно самим субъектом. Без письменного согласия субъекта персональных данных не представляется возможным утверждать, что они предоставлены именно указанным субъектом» [5].

Стоит заметить, что для уголовно-правовой защиты в силу категории «тайны» достаточно оценить только первый признак. Так, общедоступный характер сведений, составляющих личную тайну, заключается в том, что данные сведения так или иначе преданы огласке до совершения лицом любого из деяний, образующих объективную сторону нарушения неприкосновенности частной жизни. При этом неважно, была ли «первоначальная» огласка таких сведений законной — информация уже стала достоянием общественности, и дальнейшее ее распространение нельзя признать преступным [3]. Таким образом, невозможна квалификация незаконного собирания либо распространения персональных данных в случаях, когда такие данные стали общедоступными — даже если их обработка была начата в нарушение требований регуляторного законодательства, т. е. первоначальное раскрытие сведений было противоправным.

Таким образом, в области регуляторного законодательства доступность персональных данных неограниченному кругу лиц не легитимизирует их обработку альтернативно согласию, что противоречит пониманию «общедоступности» в уголовном праве, где важен сам факт открытого доступа, который нивелирует наличие прямого умысла субъекта на собирание или распространение сведений о частной жизни лица.

Безусловно, требование о «тайности» сведений частной жизни является логичным в рамках ст. 137 УК РФ и обуславливает наличие общественно опасности при незаконном собирании и распространении данных сведений. Однако при оценке аналогичных посягательств на персональные данные, за пределами уголовно-правовой защиты могут находиться ситуации, в которых лицо осуществляет собирание или распространение персональных данных, ранее незаконно распространенных третьими лицами.

Другой проблемой соотнесения персональных данных и предмета ч. 1 ст. 137 УК РФ является то, что состав преступления может быть исключен, когда сведения о частной жизни лица не позволяют данное лицо идентифицировать. Так, в одном из оправдательных приговоров указывалось: «при распространении лицо, о котором сообщаются те или иные сведения, должно быть индивидуально конкретизировано до степени его узнаваемости третьим лицом» [4].

Как было раскрыто выше, персональные данные могут идентифицировать субъекта прямо или косвенно. В рамках последней категории персональные данные можно концептуально разделить на идентифицирующие сведения, т. е. на совокупность характеристик, по которым субъект может быть однозначно определен, и на иные обрабатываемые данные, которые относятся к субъекту, но по которым он не может быть однозначно идентифицирован. Ярким примером таких персональных данных являются обезличенные данные, которые признаются в качестве косвенных персональных данных. Согласно Методическим рекомендациям от 13 декабря 2013 г. по применению Приказа Роскомнадзора от 05.09.2013 г. № 996 обезличенными данными являются сведения, хранимые в информационных системах в электронном виде, принадлежность которых конкретному субъекту ПДн невозможно определить без дополнительной информации.

Важно понимать, что обезличенные данные остаются косвенными персональными данными, так как их анонимность не носит перманентный характер, а их свойство полноты подразумевает сохранение всей информации о субъектах. Кроме того, к ним может быть применимо де-обезличивание, т. е. соединение с прямой идентифицирующей информацией, в результате чего становится возможно снова определить их принадлежность конкретному субъекту персональных данных. В рамках 152-ФЗ за оператором, обрабатывающим обезличенные данные, полностью сохраняются все возложенные на него обязанности по обеспечению их конфиденциальности. Однако, имея ввиду приведенную выше судебную практику в отношении ч. 1 ст. 137 УК РФ, такие персональные данные находятся вне уголовно-правовой защиты, ввиду отсутствия достаточной степени идентификации лица без дополнительных сведений (то есть идентификаторов, отделяющихся от обрабатываемых данных в процессе обезличивания).

Таким образом, можно констатировать, что установленный запрет в рамках ч. 1 ст. 137 УК РФ в части незаконного собирания или распространения персональных данных не обеспечивает их полноценную уголовно-правовую защиту ввиду исключения из предмета рассматриваемого преступления косвенных персональных данных, общедоступных персональных данных и персональных данных, которые стали общедоступными в результате незаконных по смыслу норм 152-ФЗ действий.

Литература:

1. Постановление Конституционного Суда РФ от 25.05.2021 № 22-П «По делу о проверке конституционности пункта 8 части 1 статьи 6 Федерального закона «О персональных данных» в связи с жалобой общества с ограниченной ответственностью «МедРейтинг» // «Собрание законодательства РФ», 31.05.2021, № 22, ст. 3915.
2. Постановление Конституционного Суда РФ от 26.10.2017 № 25-П «По делу о проверке конституционности пункта 5 статьи 2 Федерального закона «Об информации, информационных технологиях и о защите информации» в связи с жалобой гражданина А. И. Сушкова» // «Собрание законодательства РФ», 06.11.2017, № 45, ст. 6735.
3. Апелляционное постановление Алтайского краевого суда от 05.10.2023 по делу N 22–4473/2023 // URL: https://kraevoy--alt.sudrf.ru/modules.php?-name=sud_delo&srv_num-=1&name_op=case&case-id=20380258&case-_uid=9-f3a9578-e762–4b34–909b-c590f8ccbbd8&result=1&delo_id=4&new=4 (дата обращения: 09.04.2024).
4. Приговор Центрального районного суда города Барнаула от 10.07.2023 по делу N 1–36/2023 // СПС «КонсультантПлюс».
5. Решение Арбитражного суда г. Москвы от 05.05.2017 г. № А40–5250/17–144–51 // URL: https://kad.arbitr.ru/Document/Pdf/eb1907d9-be95–4b0e-85c7–0481aef89b31/867f3d91–1839–404d-82c2–8b4e9d7c4f3e/A40–5250–2017_20170505_Reshenija_i_postanovlenija.pdf?isAddStamp=True (дата обращения: 09.04.2024 г.).
6. Patrick Breyer v. Bundesrepublik Deutschland, ECJ, Case C-582/14, 19 October 2016 // URL: https://ipcuria.eu/case?reference=C-582/14 (дата обращения: 08.04.2024 г.).
7. Серебренникова А. В. Уголовно-правовое обеспечение конституционных прав и свобод человека и гражданина по законодательству Российской Федерации и Германии. М.: ЛексЭст, 2005. 303 с.
8. Explanatory Report to the Protocol amending the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, Strasbourg, 10.X.2018 // URL: https://rm.coe.int/16808ac91a (дата обращения: 09.03.2024 г.).