Законопроект № 1133088 8: как уголовное право догоняет нейросети
Содержание данной статьи проверено и подтверждено:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиС точки зрения своей сути законопроект № 1133088 8 не революция, а точечная настройка состава статьи 272.1 УК РФ.
Статья 272.1. УК РФ – свежая норма (введена в 2024 году), но за два года своего существования, по мнению субъектов законодательной инициативы, потребовала адаптации. Исходя из пояснительной записки технологии ушли вперёд, а формулировки рассматриваемой нормы на данном этапе, не учитывают специфику алгоритмической обработки данных (синтетические медиаматериалы (дипфейки)), которая используется для мошенничества, шантажа, подрыва доверия к основам государственной власти и общественного порядка.
Статья 272.1 УК РФ: каркас и болевые точки
Статья 272.1 УК РФ (введена Федеральным законом от 30 ноября 2024 года № 421 ФЗ) призвана пресекать незаконные операции с персональными данными, добытыми противоправным путём (с использованием ресурсов, предназначенных для незаконного хранения и/или распространения).
Ключевая особенность состава — фокус на манипуляции с массивами данных, затрагивающих частную сферу личности, а не просто на доступе к информации (как в общем составе, регламентированном статьей 272 УК РФ).
Что считается преступлением:
- Незаконные манипуляции с персональными данными (в том числе по ч.2 – ПДн несовершеннолетних лиц, специальные категории и/или биометрические персональных данные)
- Передача третьим лицам (в том числе по ч. 4 – их трансграничные передача или трансграничное перемещение носителей данных)
- Сбор и хранение информации, полученной:
- через неправомерный доступ к системам обработки/хранения/сбора и т. п. (то есть доступ в ИСПДн)
- путём вмешательства в работу таких систем
- создание и сопровождение таких систем для незаконного хранения и распространения
С учетом отягчающих обстоятельствах (например, если речь идёт о данных несовершеннолетних, специальных категориях или биометрии, либо деяние совершено группой лиц, из корыстных побуждений, причинило крупный ущерб и т. д.) ответственность ужесточается.
Санкции имеют следующих максимальный предел:
- Штраф до 3 000 000 рублей
- Принудительные работы до 5 лет
- Лишение свободы до 8 лет
В чем проблематика текущей редакции ст. 272.1 УК РФ
Изначально законодатель сфокусировался на на «ручных» или очевидных операциях с персональными данными, однако в эпоху нейросетей процесс обработки автоматизировался и несет киберугрозу, даже если данные не сохраняются и не распространяются и нет отягчающих признаков деяния.
В законопроекте авторы указывают, что автоматизированная обработка — это не просто «обработка». Авторы предлагают дополнить часть 1 статьи 272.1 УК РФ указанием на автоматизированную обработку персональных данных как самостоятельное уголовно наказуемое деяние.
Если проводить различие, то выглядит это следующим образом:
| Обычная обработка (ручное воздействие непосредственно физическим лицом) | Автоматизированная обработка |
| Происходит ручная выгрузка персональных данных из базы данных (ИСПДн) и последующие незаконные действия с использование физического воздействие на ПДн или устройство хранения ПДн субъектом |
Данное понятие уже закреплено в №152-ФЗ и представляет собой ранее заданные алгоритмические операции без непосредственного вмешательства субъекта, посредством чего происходит:
|
Авторы предлагают считать преступление завершенным, когда был констатирован первичный момент (факт) автоматизированной обработки персональных данных, полученных незаконным путём, способами и средствами (ч. 1 ст. 272.1 УК РФ). При этом факт завершенности деяния не зависит от сохранения таких данных на сервере преступника, если результат не был распространен любым способом и если алгоритмическая операция не удалась (либо алгоритм удалил исходную информации по итогам обработки массива данных).
Реальный кейс: как пробел в законе работает на злоумышленников
Давайте представим сценарий:
Злоумышленник получает доступ к базе фотографий сотрудников компании (например, через взлом корпоративной системы). Этот массив данных запускается в скрипт, который будет автоматически извлекать лица из фотографий, генерировать дипфейк с участием таких лиц, далее удалять автоматически исходники с сервера. По итогам зачистки скрипт направляет жертвам дипфейка требования о предоставлении денежных средств или иное вымогательство.
Сейчас привлечь виновного сложно, поскольку данные по итогу противоправных действий удалены, может, и не было распространения, но сам факт алгоритмической обработки ПДн не считывается как самостоятельное преступление.
Что будет, если поправки законопроекта о ПДн примут
Действия из кейса выше на этапе 2 уже образуют состав преступления по ч.1 статьи 272.1 УК РФ.
Поправка нацелена на пресечение конкретных противоправных практик злоумышленников, где алгоритм — инструмент причинения вреда ПДн.
А именно:
- Создание дипфейков на основе украденных биометрических данных физических лиц (изображений, голосовых записей и т. п.)
- Обучение нейросетевых моделей на массивах персональных данных, добытых незаконным путём (например, на утечках из соцсетей или из БД компаний)
- Автоматизированное сопоставление биометрических шаблонов без согласия субъекта персональных данных (например, для идентификации лиц в толпе через камеры видеонаблюдения)
Последствия для ИТ-компаний: чек-лист для комплаенса
В случае принятие законопроекта № 1133088 8 от ИТ компаний, в первую очередь, потребуется не поддаваться панике, а провести трезвую инвентаризацию процессов обработки персональных данных в рамках собственной IT-инфраструктуры.
Прежде всего необходимо составить карту всех систем, где данные обрабатываются алгоритмически: это могут быть чат-боты с распознаванием речи, системы анализа поведения пользователей, модели машинного обучения для таргетирования или сервисы биометрической идентификации.
Без чёткого понимания, где и как реализованные алгоритмы используют персональные данные, выстроить надёжную информационную безопасность невозможно.
Следующий шаг — аудит источников персональных данных. На этом этапе критически важно убедиться, что алгоритмические выборки машинного обучения и иные массивы данных получены легальным способом, поскольку из признаков квалификации преступления в рамках состава ст. 272.1 УК РФ имеют значение именно неправомерность получения исходных персональных данных.
В рамках данной проверки также стоит детально проанализировать не только информационную безопасность, но и договорные конструкции с контрагентами, предоставляющими персональные данные, констатировать факт наличия действительных согласий субъектов персональных данных с теми целями, той категории и для способов, в соответствии с которыми такие данные в действительности используются, а также изучить историю утечек в открытых источниках на тот случай, если полученные ранее персональные данные «гуляют» в сети, а их использование несёт серьёзные риски для вас и субъекта ПДн. Особенно это касается биометрических и специальных категорий данных, которые подпадают под повышенные требования защиты (ч. 4 – квалифицирующий признак).
Если компания передаёт обработку данных на аутсорсинг (DPO), необходимо пересмотреть договоры с подрядчиками. В документах следует чётко прописать требования к источникам данных, обязательства по проверке законности их получения, механизмы аудита используемых алгоритмов, а также распределение ответственности за возможные нарушения. Важно не ограничиваться общими формулировками: лучше зафиксировать конкретные критерии легитимности данных и порядок подтверждения их происхождения. Это позволит снизить риски, связанные с действиями третьих лиц, и выстроить прозрачную цепочку ответственности.
Параллельно стоит актуализировать внутреннюю документацию. Например, в политику обработки персональных данных целесообразно включить отдельный раздел о рисках автоматизированной обработки, в рамках которого сделать акцент на специфику работы алгоритмов и уделить внимание описанию процедур тестирования алгоритмов для цели обработки ПДн (то есть сразу раскрывать заданную модель обработки ПДн).
Наконец, критически важен этап обучения сотрудников. Тренинги стоит организовать для разработчиков, дата сайентистов и юристов — тех, кто непосредственно работает с ПДн с применением алгоритмических моделей обработки.
Такой подход поможет сформировать культуру осознанного обращения с персональными данными на всех уровнях компании.
Последовательная поведенческая политика в связи с изменениями позволит ИТ-компаниям не просто формально соответствовать новым законодательным требованиям, но и выстроить устойчивую систему безопасности и защиты ПДн, в том числе при их автоматизированной обработке. Рациональный подход в реагировании на новые изменения сократит юридические риски, укрепит доверие контрагентов/клиентов и покажет конкурентное преимущество контрагента на рынке, где прозрачность и безопасность данных становятся ключевыми факторами успеха.
Новые изменения не направлены на создание новых запретов, а предлагают адаптацию уголовного законодательства с учетом развития цифровых технологий, нейросетей и возрастающих угроз кибербезопасности. Изменения позволяют квалифицировать как преступление сам факт неправомерной алгоритмической обработки персональных данных. Для добросовестного бизнеса это сигнал усилить комплаенс, а не повод для паники. Главное чтобы правоприменение оставалось взвешенным и учитывало специфику ИТ отрасли.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
