Контакты
Подписка
МЕНЮ
Контакты
Подписка

Судебная практика по делам в сфере информационной безопасности

Судебная практика по делам в сфере информационной безопасности

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Судебная практика по делам в сфере информационной безопасности

В статье рассмотрены основные направления дел в сфере информационной безопасности в судебной практике последних лет. С каждым годом их количество растет. Это дела, связанные с нарушением конфиденциальности информации, разглашением персональных данных, подделкой электронных документов и пр. Количество таких дел подтверждает актуальность рассматриваемой проблемы и свидетельствует о необходимости вновь вернуться к ее рассмотрению в ближайшей перспективе.
Ильдар Бегишев
Старший научный сотрудник Казанского инновационного университета
им. В.Г. Тимирясова (ИЭУП), кандидат юридических наук

Анализ судебной практики представляет собой исследование в сфере правоприменения, позволяющее проанализировать и систематизировать судебные дела, выделить устойчивые различия применения судами законодательства, а также выявить причины и условия, которые этому способствуют, чтобы выработать предложения и рекомендации. За счет обобщения судебной практики появляется возможность выявить случаи принятия различных судебных актов, касающихся одних и тех же вопросов права, проанализировать различное толкование закона, ошибки в применении норм материального и процессуального права, а также определить причины и условия их образования.

Анализ судебной практики

Проведем выборочный анализ судебной практики по делам в сфере информационной безопасности за последние несколько лет. Мы рассмотрели ряд норм российского законодательства, предусматривающих ответственность за нарушения в сфере информационной безопасности. Это ст. 138.1, 159.6, 183, 185.6, 272–274.1, 283–284 и 310 УК РФ, ст. 5.53, 13.11–13.14, 13.27.1, 13.33– 13.34, 14.30, 15.21, 17.13, 20.23 и 20.24 КоАП РФ.

Для поиска судебных решений нами использовалась крупнейшая в российском сегменте сети Интернет база судебных актов, судебных решений и нормативных документов – интернет-ресурс "Судебные и нормативные акты РФ" (sudact.ru).

Чтобы найти то или иное судебное решение на указанном сайте, мы использовали номер и наименование конкретной статьи кодексов и временной период. Кроме того, публикация судебных решений производится на тематических отраслевых сайтах.

Примеры судебных дел

Наличие судебной практики по таким делам свидетельствует о том, что очень важным аспектом является необходимость соблюдать формальные правила, организуя режим коммерческой тайны. В частности, Коломенский городской суд рассмотрел ходатайство, касающееся восстановления на работе сотрудника завода, которому вменялось нарушение режима коммерческой тайны. Персонал допускался на предприятие по регламентам, предусматривающим служебную и коммерческую тайну, а также обязан был руководствоваться положением о коммерческой тайне, где был установлен ее режим, и перечнем сведений, которые были включены в категорию "коммерческая тайна". На момент возникновения спорных взаимоотношений сотрудника и работодателя все документы действовали и вместе с другими сотрудниками истец был ознакомлен с ними, о чем свидетельствует его подпись в списке ознакомленных с подобными документами. Через некоторое время руководство предприятия ограничило доступ сотрудника к коммерческой тайне, но еще через какое-то время у него на столе были обнаружены рабочие материалы, имеющие гриф "КТ".

Сложности поиска судебной практики, освещающей дела в рамках информационной безопасности, обусловлены тем, что объем такой практики сравнительно небольшой, сами статьи достаточно разрознены и очень сложно сопоставлять и обобщать данные таких норм.

Дисциплинарный проступок был подтвержден руководством компании, по факту проверки был составлен акт, а также сделаны фото. Причину наличия у него на столе указанных документов сотрудник объяснить не мог. Так как ранее он уже подвергался дисциплинарным взысканиям за нарушение коммерческой тайны (копирование информации, вынос чертежей за территорию организации и пр.), то суд признал увольнение законным, поскольку работником не были сделаны должные выводы, а сам он не подчинился требованиям руководства.

Часть судебных решений касается проблем взаимодействия руководства банков с клиентами. В частности, на начальника отдела по работе с проблемными активами отделения одного из банков было наложено административное наказание в виде штрафа. Причина наказания крылась в том, что его подчиненный решил выяснить местонахождение должника посредством обращения к работодателю последнего. По мнению суда, налицо имели действия по распространению информации о наличии задолженности по кредитным обязательствам перед банком. Сотрудником банка был также осуществлен сбор информации недопустимыми методами.

А что с персональными данными?

Достаточно большое количество рассмотренных судебных дел посвящено искам по защите персональных данных. В частности, клиентка одного из банков обратилась в прокуратуру с заявлением о том, что были нарушены ее права на защиту персональных данных. Материалы проверки показали, что один из заемщиков сообщил банку ее персональные данные, представив заявительницу в качестве контактного лица. Согласно судебному решению, был нарушен установленный порядок обработки персональных данных: доступ к персональным данным получил неопределенный круг лиц, при этом субъект персональных данных своего согласия не давал. Данное правонарушение не является длящимся, а датой события правонарушения можно считать момент принятия соответствующих данных от заемщика. За указанное правонарушение следует наказание по ч. 1 ст. 4.5 КоАП РФ, но необходимо иметь в виду наличие трехмесячного срока привлечения к ответственности. Так как срок уже истек, наказание по закону не было назначено.

Мошенничество в сфере компьютерной информации, совершенное посредством неправомерного доступа к компьютерной информации или посредством создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по ст. 272, 273 или 274.1 УК РФ.

Значительная часть споров, касающихся проблемы распространения персональных данных – это споры со СМИ, публикующими информацию, касающуюся личной жизни граждан. Верховный суд вынес постановление о том, что Роскомнадзору дано право принимать решение о закрытии того или иного СМИ, если ему вменяется регулярное распространение информации о личной жизни граждан или же иное нарушение законодательства о персональных данных. Например, одной из газет Краснодарского края в публикацию была включена информация о несовершеннолетней – ее имя, фамилия и даже номер школы, где она учится. В адрес издания было направлено письменное предупреждение ведомства, но газета продолжала публиковать персональные данные несовершеннолетних. Краевой суд своим решением прекратил деятельность газеты, а существенность дела и правомерность его решения была подтверждена Верховным Судом РФ1.

Наряду с закрытием издания его также могут обязать по суду выплатить компенсацию за моральный ущерб. Так, по мнению суда по Санкт-Петербургу и Ленинградской области, была определена как нарушение публикация фотографии гражданина, а также сведений о нем, при этом согласие на распространение персональных данных гражданин не давал. Судом с газеты А. была взыскана в пользу вышеозначенного гражданина компенсация за моральный ущерб.

Анализ практики также выявил типовые проблемы медицинских или образовательных учреждений, оказывающих различные услуги населению, но при этом согласия на обработку персональных данных у клиентов не запрашивающих. В частности, специалисты клиники, расположенной в Самарской области, проводя медицинские осмотры, заносили персональные данные граждан в амбулаторные карты без получения согласия пациентов. Данное нарушение стало причиной привлечения директора медицинской организации к ответственности по ст. 13.1 КоАП РФ.

Мошенничество и хищение информации

Игнорирование вопросов хищения чужого имущества или приобретения права на чужое имущество в сфере обращения компьютерной информации представляется недопустимым. Многие ошибочно считают, что цифровые технологии надежно защищены от мошенничества. Такой постулат неверен, чему есть большое количество практических примеров2.

По смыслу ст. 159.6 УК РФ вмешательством в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей признается целенаправленное воздействие программных и (или) программно-аппаратных средств на серверы, средства вычислительной техники (компьютеры), в том числе переносные (портативные) – ноутбуки, планшетные компьютеры, смартфоны, снабженные соответствующим программным обеспечением, или на информационно-телекоммуникационные сети, которое нарушает установленный процесс обработки, хранения, передачи компьютерной информации, что позволяет виновному или иному лицу незаконно завладеть чужим имуществом или приобрести право на него3.

Еще одним вопросом, выносимым на рассмотрение судов, является предоставление персональных данных по запросу государственных органов. Так, законом прямо запрещено их распространение, соответственно операторы, не желая рисковать относительно получения предписания от Роскомнадзора, отвечают отказом на запросы государственных органов, в том числе и ФАС России, связанные с персональными данными граждан. В частности, один из запросов ФАС России касался информации о владельце телефонного номера, с которого регулярно осуществлялась рассылка многочисленных рекламных сообщений. После отказа предоставить такие данные организация была оштрафована. Суд пришел к выводу, что действия ФАС России носят законный характер, так как оператор связи должен был предоставить персональные данные, на которые пришел запрос.

Мошенничество в сфере компьютерной информации, совершенное посредством неправомерного доступа к компьютерной информации или посредством создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по ст. 272, 273 или 274.1 УК РФ4.

Например, для хищения денежных средств из электронного кошелька первоначально необходимо получить код доступа к нему. В случае если кто-то взломает кошелек с помощью технических возможностей и похитит денежные средства, действия будут квалифицироваться по ст. 159.6 и 272 УК РФ. По такому же пути идет практика в случае, если хищение имущества происходит с помощью вредоносных компьютерных программ (ст. 273 УК РФ)5.

Самые распространенные споры в судебной практике

Одними из самых распространенных в судебной практике являются споры с правообладателями. Количество исков возрастает с каждым годом. Данная категория дел является самой дорогостоящей. Так, ответчики по таким делам – люди, публично размещающие информацию, права на которую принадлежат другим гражданам. При этом если спорный информационный объект распространяют с подачи владельца сайта его пользователи, ответственность также несет владелец сайта.

Важной частью судебной практики являются споры, связанные с хищением денежных средств через каналы дистанционного банковского обслуживания. Данные дела носят резонансный характер, при этом суды теперь не только обвиняют во всем клиента банка, заключившего договор и взявшего на себя все риски по электронным платежам, но и проводят оценку безопасности непосредственно банковских платежей. Так, согласно судебным решениям, в ряде дел была выявлена неосмотрительность действий банка, в связи с чем клиент такого банка получал право на возмещение всей похищенной суммы, а также на оплату расходов по экспертизе. Соответственно, сегодня суды предъявляют повышенные требования к безопасности банков.

Важной частью судебной практики являются споры, связанные с хищением денежных средств через каналы дистанционного банковского обслуживания. Данные дела носят резонансный характер, при этом суды теперь не только обвиняют во всем клиента банка, заключившего договор и взявшего на себя все риски по электронным платежам, но и проводят оценку безопасности непосредственно банковских платежей.

Еще недавно в российской судебной практике практически не встречались примеры привлечения к уголовной ответственности за подделку электронных документов. Но сегодня имеется ряд судебных решений, где в качестве предмета преступления признаются:

  • бухгалтерские документы, составленные при помощи программы "1С бухгалтерия" и направленные получателю по каналам электронной связи;
  • расходные кассовые ордера, которые составляются при помощи автоматизированной программы "Филиал";
  • справки о доходах физических лиц (2-НДФЛ), которые изготавливаются при помощи компьютерной техники и хранятся в электронном виде на материальных носителях;
  • трудовые договоры и договоры аренды, также представленные в электронном виде и сохраняемые на электронных носителях;
  • свидетельства, на основании которых осуществляется допуск к определенным видам работ, влияющих на безопасность объектов капитального строительства. Такие свидетельства также изготавливаются с использованием средств компьютерной обработки информации, представляют собой электронный документ и направляются по каналам связи в адрес официального сайта проведения аукциона как документы, при помощи которых участник аукциона может подтвердить свое соответствие требованиям.

Судами прямо указывается, что электронная форма составления, сохранения и представления документов не исключает наличия состава преступления в действиях субъекта. Так, в соответствии со ст. 327 УК РФ указанные документы отвечают признакам официального документа, форма же его предъявления в суд роли не играет.

Следует отметить, что в рамках данной статьи невозможно проанализировать весь объем судебной практики по делам в сфере информационной безопасности. Возможно, подробный анализ отдельных категорий дел будет проведен в последующих номерах журнала.

Что в итоге?

Можно заключить, что современная судебная практика рассматривает сегодня различные дела, связанные с информационной безопасностью – с нарушением конфиденциальности информации, разглашением персональных данных, подделкой электронных документов и пр. С каждым годом количество таких дел, находящихся на рассмотрении в судах, растет. Это подтверждает актуальность рассматриваемой проблемы и свидетельствует о необходимости вновь вернуться к ее рассмотрению в ближайшей перспективе.

___________________________________________
1 См.: Определение СК по административным делам Верховного Суда РФ от 24 июня 2015 г. № 18-АПГ15-7 // Текст определения официально опубликован не был.
2 Бегишев И.Р. Некоторые вопросы противодействия мошенничеству в сфере компьютерной информации // Вестник Казанского юридического института МВД России. 2016. № 3 (25). С. 112–117.
3 Постановление Пленума Верховного Суда РФ от 30 ноября 2017 г. № 48 “О судебной практике по делам о мошенничестве, присвоении и растрате" // Российская газета. 2017. № 280.
4 Постановление Пленума Верховного Суда РФ от 30 ноября 2017 г. № 48 “О судебной практике по делам о мошенничестве, присвоении и растрате" // Российская газета. 2017. № 280.
5 Саушкин Д.В., Шульгина Д.Д., Корчагина М.А. Права и обязанности предпринимателя при взаимоотношениях с правоохранительными органами: закон и практика. М.: Редакция “Российской газеты", 2019. 160 с.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2020
Посещений: 2748

Приобрести этот номер или подписаться
  Автор

Ильдар Бегишев

Ильдар Бегишев

Кандидат юридических наук, Казанский инновационный университет им. В.Г. Тимирясова (ИЭУП)

Всего статей:  12

В рубрику "Право и нормативы" | К списку рубрик  |  К списку авторов  |  К списку публикаций