В Государственную Думу внесен законопроект, направленный на введение уголовной ответственности за автоматизированную обработку персональных данных. Инициатива заявлена как мера против распространения дипфейков, однако вызвала резкую критику со стороны юристов и представителей IT-отрасли.
Суть законодательной инициативы
Депутаты от партии «Справедливая Россия» предлагают внести изменения в статью 272.1 Уголовного кодекса РФ, дополнив ее новым составом преступления — «автоматизированная обработка персональных данных», осуществленная незаконно.
В действующей редакции уголовная ответственность наступает, если персональные данные были получены в результате взлома или иного незаконного доступа и затем незаконно использованы, переданы, распространены, собраны или сохранены.
Законопроект предлагает расширить уголовно наказуемое деяние, сделав основанием ответственности сам факт алгоритмической обработки персональных данных — даже без их распространения или хранения.
Связь с дипфейками
В пояснительной записке указано, что ключевым этапом создания дипфейков является автоматизированная обработка биометрических персональных данных — изображения лица и голоса — без прямого участия человека.
По мнению авторов инициативы, такие технологии позволяют:
- создавать поддельные аудио- и видеозаписи;
- использовать их для мошенничества и шантажа;
- подрывать доверие к институтам власти;
- наносить «иной существенный вред».
В обоснование приводятся данные исследований, согласно которым только в финансовом секторе в 2024 году было зафиксировано около 5700 атак с применением дипфейков, при этом до 20% таких атак являются успешными.
Санкции и действующее регулирование
Инициатива дополняет уже вступившие в силу в декабре 2024 года нормы об уголовной ответственности за незаконный оборот персональных данных.
В настоящее время предусмотрено:
- штраф до 300 000 рублей или лишение свободы до 4 лет — за незаконное использование, передачу, сбор или хранение данных;
- до 5 лет лишения свободы или штраф до 700 000 рублей — при работе с биометрией или данными несовершеннолетних;
- до 10 лет лишения свободы и штраф до 3 млн рублей — при совершении преступления организованной группой;
- ответственность за создание ресурсов для незаконного оборота персональных данных.
Новая редакция статьи фактически делает уголовно наказуемым сам процесс автоматизированной обработки данных при отсутствии четких критериев вреда.
Критика законопроекта
Юристы и представители рынка указывают на следующие риски:
- криминализация не преступного результата, а технологического процесса;
- угроза уголовной ответственности для сотрудников компаний и разработчиков;
- правовая неопределенность понятия «иного существенного вреда»;
- торможение развития ИИ, машинного обучения и цифровой экономики в целом.
По оценкам экспертов, в текущей редакции законопроект может быть применим не только к мошенникам, но и к легальным IT-процессам — от аналитики до тестирования нейросетей.
Правовое значение инициативы
Законопроект отражает тенденцию к расширению уголовно-правового регулирования в цифровой сфере, однако в его текущем виде существует риск смещения фокуса с борьбы с преступлениями на криминализацию самой технологической деятельности.
Вопрос о соразмерности, определенности состава и балансе между безопасностью и развитием технологий остается ключевым при дальнейшем рассмотрении инициативы.