Адвокат Баранов: озабоченность Минцифры по выводу ИБ-компаний из-под закона о ПДн преувеличена

Минцифры, Совет Федерации и эксперты обсуждают корректировку норм, рамках которых планируется ИБ-компания предоставить возможность работать без ограничений, установленных законом «О персональных данных». По словам адвоката адвокатской палаты города Москвы Игоря Баранова, озабоченность Минцифры по выводу ИБ-компаний из-под закона о ПДн крайне преувеличена.

Как отметил эксперт, оценивая идею чиновников, уголовная ответственность по новой статье УК РФ наступает за незаконное обращение с информацией, содержащей персональные данные. Также в качестве квалифицирующих признаков предусматриваются корыстные цели использования информации, их трансграничная передача, создание организованной группы, сбор биометрии и т.д.

«Очевидно, что специалисты по ИБ получают доступ к информации на законных основаниях (белые хакеры, пентестеры, расследование компьютерные преступлений), поскольку имеют трудовые или иные договора с работодателем (заказчиком) на проведение такой деятельности, а также не имеют целей незаконного сбора информации, ее распространения. Соответственно действия, образующие состав преступления, в деятельности указанных специалистов отсутствуют.

Специалистам OSINT, собирающим информацию из открытых источников, при отсутствии корыстных целей на сбыт собираемой информации или иное ее противоправное использование, а том числе незаконное распространение сведений, содержащих персональные данные, не образуют состав преступления», — уточнил Игорь Баранов.

По словам специалиста, основаниями привлечения к уголовной ответственности по ст. 272_1 УК является сбор информации, содержащей персональные данные, для ее незаконного использования, то есть продажи, распространения, передачи мошенникам для совершения преступлений и т.п. Очевидно, что деятельность специалистов ИБ не связана с такими целями.

Специальными признаками, усиливающими наказание, являются корыстные цели, трансграничная передача информации, создание группы для незаконного использования информации и т.д. Очевидно, что такие действия при легальной работе компьютерных специалистов, отсутствуют, поэтому опасения привлечения к уголовной ответственности являются необоснованными.

«Учитывая изложенное, считаю, что озабоченность Минцифры и профильных специалистов является крайне преувеличенной. Отсутствие понимания состава преступления по новой статье УК РФ приводит к возникновению фантомных страхов, что должно разрешаться путем получения разъяснений от правоохранительных органов и ВС РФ.

Исключение ИБ компаний из субъектов ФЗ «О персональных данных» приведет к снижению эффекта от применения новых норм УК РФ, снизит режим охраны персональных данных. Также это может привести к взрывному росту новых ИБ компаний, создаваемых мошенниками и кибер-преступниками, в целях легализации незаконной деятельности и ухода от установленной законом ответственности«, — резюмировал адвокат адвокатской палаты города Москвы.