За нарушения при обработке биометрических данных хотят ввести уголовную и административную ответственность
Поправки Минцифры предполагают наказание до 10 лет лишения свободы, если преступные деяния повлекли тяжкие последствия
По словам одного эксперта «АГ», поправки в УК призваны повысить безопасность обработки биометрических персональных данных в Единой биометрической системе. Другая отметила, что они заполняют пробел регулирования, когда в одном законе есть ссылка на необходимость привлечения нарушителя к ответственности, а самой ответственности при этом не установлено, но пока сложно предугадать, снизят ли они на практике число нарушений в порядке обращения с персональными данными физлиц.
Министерство цифрового развития, связи и массовых коммуникаций РФ представило пакет поправок в КоАП, УК и УПК, которые вводят ответственность за нарушения при внесении, хранении и обработке персональных и биометрических данных граждан.
Так, первым проектом поправок предлагается дополнить Уголовный кодекс ст. 274.2, которая предусматривает ответственность за умышленное внесение должностным или иным уполномоченным лицом заведомо недостоверных сведений в Единую систему идентификации и аутентификации, а также в Единую биометрическую систему. Корреспондирующие изменения вносятся в ст. 151 УПК.
За такое преступление, а равно и за умышленное неисполнение обязанностей по установлению личности физлица в целях размещения или обновления недостоверных сведений в этих системах, если эти деяния совершены из корыстной или иной личной заинтересованности, предусмотрено наказание в виде штрафа до 300 тыс. руб., или в размере зарплаты или иного дохода осужденного за период до шести месяцев, либо в виде обязательных работ на срок до 480 часов, либо в виде исправительных работ на срок до двух лет, либо в виде лишения права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет, либо в виде принудительных работ на срок до пяти лет, либо в виде лишения свободы на тот же срок. Если эти деяния повлекли тяжкие последствия, то предусматривается наказание исключительно в виде лишения свободы на срок до десяти лет.
Аналогичное наказание, за исключением принудительных работ и лишения свободы, предусматривается за неисполнение или ненадлежащее исполнение должностным или иным уполномоченным лицом вследствие недобросовестного или небрежного отношения, в результате которых произошло размещение или обновление в ЕСИА или ЕБС недостоверных персональных данных физического лица, если это повлекло существенное нарушение прав и законных интересов физлиц или организаций либо охраняемых законом интересов общества или государства, а равно тяжкие последствия.
В пояснительной записке со ссылкой на ч. 1.2 Закона об информации отмечено, что лица, размещающие в электронной форме сведения, необходимые для регистрации физического лица в ЕСИА и ЕБС, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с законодательством РФ за достоверность сведений, размещаемых в указанных системах: «Вместе с тем специальные нормы уголовного законодательства для возможности привлечения таких лиц к ответственности в настоящее время отсутствуют». Предполагается, что такого рода преступления будут расследовать органы ФСБ.
Вторым законопроектом предложено дополнить КоАП РФ ст. 13.49, устанавливающей административную ответственность за нарушение порядка применения информационных технологий в целях идентификации или аутентификации физлиц.
За нарушение порядка обработки (включая сбор и хранение) параметров биометрических персональных данных, порядка размещения и обновления их в ЕБС и иных информационных системах, обеспечивающих идентификацию или аутентификацию физлиц с использованием этих данных, в иных государственных информационных системах, а также требований к информационным технологиям и техническим средствам, предназначенным для их обработки, для должностных лиц предусмотрен штраф от 200 тыс. до 300 тыс. руб., для юридических лиц – от 300 тыс. до 500 тыс. руб.
Обработка биометрических персональных данных без аккредитации, а равно в случае, если аккредитация приостановлена или прекращена, будет наказываться штрафом от 300 тыс. до 600 тыс. руб. для должностных лиц и от 500 тыс. до 1 млн руб. – для юрлиц.
Как следует из пояснительной записки к законопроекту, рассмотрение дел об административном правонарушении за нарушение порядка применения информационных технологий в целях идентификации или аутентификации физлиц планируется возложить на Роскомнадзор, за исключением случаев, когда такое правонарушение совершено организациями финансового рынка – тогда этим займется Банк России. «В указанных целях предусматривается предоставление права руководителям структурных подразделений Банка России, их заместителям, в компетенцию которых входят вопросы в области надзора и контроля в сфере финансовых рынков (за исключением банковской деятельности), рассматривать дела об административных правонарушениях», – отметили авторы поправок.
Соучредитель и член Правления Сообщества профессионалов в области приватности Алексей Мунтян отметил: поправки в УК призваны повысить безопасность обработки биометрических персональных данных в ЕБС, а также поднять уровень доверия граждан к этой технологии, тем самым увеличить объем находящейся в системе биометрии. При этом он заметил, что пока что количество зарегистрированных в ЕБС граждан насчитывает всего несколько сотен тысяч. «На решение этой задачи также работает приобретение ЕБС в конце 2021 г. статуса государственной информационной системы, а также отмена до конца текущего года платы за использование ЕБС для подключенных к ней компаний, которые ранее оплачивали транзакции (сверку биометрических данных гражданина с данными, хранящимися в ЕБС)», – отметил он.
Партнер, руководитель Санкт-Петербургского офиса Semenov&Pevzner Екатерина Смирнова напомнила, что биометрические персональные данные являются особой категорией данных, обработка которых имеет много ограничений ввиду их уникальности, поскольку с их помощью можно устанавливать личность человека с высокой степенью точности (отпечатки пальцев, сетчатка глаза, фотография, ДНК). «Штрафы за обработку данных без аккредитации направлены, по всей видимости, на то, чтобы стимулировать операторов получать ее и взаимодействовать с государством», – предположила она.
Екатерина Смирнова полагает, что поправки в УК РФ, с одной стороны, заполняют пробел регулирования, когда в одном законе есть ссылка на необходимость привлечения нарушителя к ответственности, а самой ответственности при этом не установлено. «С другой стороны, несмотря на довольно серьезный характер наказаний, пока сложно предугадать, повлечет ли на практике принятие такого законопроекта уменьшение случаев числа нарушений в порядке обращения с персональными данными физлиц», – убеждена она.