Судебная практика по делам в сфере информационной безопасности

Анализ судебной практики представляет собой исследование в сфере правоприменения, позволяющее проанализировать и систематизировать судебные дела, выделить устойчивые различия применения судами законодательства, а также выявить причины и условия, которые этому способствуют, чтобы выработать предложения и рекомендации. За счет обобщения судебной практики появляется возможность выявить случаи принятия различных судебных актов, касающихся одних и тех же вопросов права, проанализировать различное толкование закона, ошибки в применении норм материального и процессуального права, а также определить причины и условия их образования.

Анализ судебной практики

Проведем выборочный анализ судебной практики по делам в сфере информационной безопасности за последние несколько лет. Мы рассмотрели ряд норм российского законодательства, предусматривающих ответственность за нарушения в сфере информационной безопасности. Это ст. 138.1, 159.6, 183, 185.6, 272–274.1, 283–284 и 310 УК РФ, ст. 5.53, 13.11–13.14, 13.27.1, 13.33– 13.34, 14.30, 15.21, 17.13, 20.23 и 20.24 КоАП РФ.

Для поиска судебных решений нами использовалась крупнейшая в российском сегменте сети Интернет база судебных актов, судебных решений и нормативных документов – интернет-ресурс "Судебные и нормативные акты РФ" (sudact.ru).

Чтобы найти то или иное судебное решение на указанном сайте, мы использовали номер и наименование конкретной статьи кодексов и временной период. Кроме того, публикация судебных решений производится на тематических отраслевых сайтах.

Примеры судебных дел

Наличие судебной практики по таким делам свидетельствует о том, что очень важным аспектом является необходимость соблюдать формальные правила, организуя режим коммерческой тайны. В частности, Коломенский городской суд рассмотрел ходатайство, касающееся восстановления на работе сотрудника завода, которому вменялось нарушение режима коммерческой тайны. Персонал допускался на предприятие по регламентам, предусматривающим служебную и коммерческую тайну, а также обязан был руководствоваться положением о коммерческой тайне, где был установлен ее режим, и перечнем сведений, которые были включены в категорию "коммерческая тайна". На момент возникновения спорных взаимоотношений сотрудника и работодателя все документы действовали и вместе с другими сотрудниками истец был ознакомлен с ними, о чем свидетельствует его подпись в списке ознакомленных с подобными документами. Через некоторое время руководство предприятия ограничило доступ сотрудника к коммерческой тайне, но еще через какое-то время у него на столе были обнаружены рабочие материалы, имеющие гриф "КТ".

Дисциплинарный проступок был подтвержден руководством компании, по факту проверки был составлен акт, а также сделаны фото. Причину наличия у него на столе указанных документов сотрудник объяснить не мог. Так как ранее он уже подвергался дисциплинарным взысканиям за нарушение коммерческой тайны (копирование информации, вынос чертежей за территорию организации и пр.), то суд признал увольнение законным, поскольку работником не были сделаны должные выводы, а сам он не подчинился требованиям руководства.

Часть судебных решений касается проблем взаимодействия руководства банков с клиентами. В частности, на начальника отдела по работе с проблемными активами отделения одного из банков было наложено административное наказание в виде штрафа. Причина наказания крылась в том, что его подчиненный решил выяснить местонахождение должника посредством обращения к работодателю последнего. По мнению суда, налицо имели действия по распространению информации о наличии задолженности по кредитным обязательствам перед банком. Сотрудником банка был также осуществлен сбор информации недопустимыми методами.

А что с персональными данными?

Достаточно большое количество рассмотренных судебных дел посвящено искам по защите персональных данных. В частности, клиентка одного из банков обратилась в прокуратуру с заявлением о том, что были нарушены ее права на защиту персональных данных. Материалы проверки показали, что один из заемщиков сообщил банку ее персональные данные, представив заявительницу в качестве контактного лица. Согласно судебному решению, был нарушен установленный порядок обработки персональных данных: доступ к персональным данным получил неопределенный круг лиц, при этом субъект персональных данных своего согласия не давал. Данное правонарушение не является длящимся, а датой события правонарушения можно считать момент принятия соответствующих данных от заемщика. За указанное правонарушение следует наказание по ч. 1 ст. 4.5 КоАП РФ, но необходимо иметь в виду наличие трехмесячного срока привлечения к ответственности. Так как срок уже истек, наказание по закону не было назначено.

Значительная часть споров, касающихся проблемы распространения персональных данных – это споры со СМИ, публикующими информацию, касающуюся личной жизни граждан. Верховный суд вынес постановление о том, что Роскомнадзору дано право принимать решение о закрытии того или иного СМИ, если ему вменяется регулярное распространение информации о личной жизни граждан или же иное нарушение законодательства о персональных данных. Например, одной из газет Краснодарского края в публикацию была включена информация о несовершеннолетней – ее имя, фамилия и даже номер школы, где она учится. В адрес издания было направлено письменное предупреждение ведомства, но газета продолжала публиковать персональные данные несовершеннолетних. Краевой суд своим решением прекратил деятельность газеты, а существенность дела и правомерность его решения была подтверждена Верховным Судом РФ¹.

Наряду с закрытием издания его также могут обязать по суду выплатить компенсацию за моральный ущерб. Так, по мнению суда по Санкт-Петербургу и Ленинградской области, была определена как нарушение публикация фотографии гражданина, а также сведений о нем, при этом согласие на распространение персональных данных гражданин не давал. Судом с газеты А. была взыскана в пользу вышеозначенного гражданина компенсация за моральный ущерб.

Анализ практики также выявил типовые проблемы медицинских или образовательных учреждений, оказывающих различные услуги населению, но при этом согласия на обработку персональных данных у клиентов не запрашивающих. В частности, специалисты клиники, расположенной в Самарской области, проводя медицинские осмотры, заносили персональные данные граждан в амбулаторные карты без получения согласия пациентов. Данное нарушение стало причиной привлечения директора медицинской организации к ответственности по ст. 13.1 КоАП РФ.

Мошенничество и хищение информации

Игнорирование вопросов хищения чужого имущества или приобретения права на чужое имущество в сфере обращения компьютерной информации представляется недопустимым. Многие ошибочно считают, что цифровые технологии надежно защищены от мошенничества. Такой постулат неверен, чему есть большое количество практических примеров².

По смыслу ст. 159.6 УК РФ вмешательством в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей признается целенаправленное воздействие программных и (или) программно-аппаратных средств на серверы, средства вычислительной техники (компьютеры), в том числе переносные (портативные) – ноутбуки, планшетные компьютеры, смартфоны, снабженные соответствующим программным обеспечением, или на информационно-телекоммуникационные сети, которое нарушает установленный процесс обработки, хранения, передачи компьютерной информации, что позволяет виновному или иному лицу незаконно завладеть чужим имуществом или приобрести право на него³.

Мошенничество в сфере компьютерной информации, совершенное посредством неправомерного доступа к компьютерной информации или посредством создания, использования и распространения вредоносных компьютерных программ, требует дополнительной квалификации по ст. 272, 273 или 274.1 УК РФ⁴.

Например, для хищения денежных средств из электронного кошелька первоначально необходимо получить код доступа к нему. В случае если кто-то взломает кошелек с помощью технических возможностей и похитит денежные средства, действия будут квалифицироваться по ст. 159.6 и 272 УК РФ. По такому же пути идет практика в случае, если хищение имущества происходит с помощью вредоносных компьютерных программ (ст. 273 УК РФ)⁵.

Самые распространенные споры в судебной практике

Одними из самых распространенных в судебной практике являются споры с правообладателями. Количество исков возрастает с каждым годом. Данная категория дел является самой дорогостоящей. Так, ответчики по таким делам – люди, публично размещающие информацию, права на которую принадлежат другим гражданам. При этом если спорный информационный объект распространяют с подачи владельца сайта его пользователи, ответственность также несет владелец сайта.

Важной частью судебной практики являются споры, связанные с хищением денежных средств через каналы дистанционного банковского обслуживания. Данные дела носят резонансный характер, при этом суды теперь не только обвиняют во всем клиента банка, заключившего договор и взявшего на себя все риски по электронным платежам, но и проводят оценку безопасности непосредственно банковских платежей. Так, согласно судебным решениям, в ряде дел была выявлена неосмотрительность действий банка, в связи с чем клиент такого банка получал право на возмещение всей похищенной суммы, а также на оплату расходов по экспертизе. Соответственно, сегодня суды предъявляют повышенные требования к безопасности банков.

Еще недавно в российской судебной практике практически не встречались примеры привлечения к уголовной ответственности за подделку электронных документов. Но сегодня имеется ряд судебных решений, где в качестве предмета преступления признаются:

• бухгалтерские документы, составленные при помощи программы "1С бухгалтерия" и направленные получателю по каналам электронной связи;
• расходные кассовые ордера, которые составляются при помощи автоматизированной программы "Филиал";
• справки о доходах физических лиц (2-НДФЛ), которые изготавливаются при помощи компьютерной техники и хранятся в электронном виде на материальных носителях;
• трудовые договоры и договоры аренды, также представленные в электронном виде и сохраняемые на электронных носителях;
• свидетельства, на основании которых осуществляется допуск к определенным видам работ, влияющих на безопасность объектов капитального строительства. Такие свидетельства также изготавливаются с использованием средств компьютерной обработки информации, представляют собой электронный документ и направляются по каналам связи в адрес официального сайта проведения аукциона как документы, при помощи которых участник аукциона может подтвердить свое соответствие требованиям.

Судами прямо указывается, что электронная форма составления, сохранения и представления документов не исключает наличия состава преступления в действиях субъекта. Так, в соответствии со ст. 327 УК РФ указанные документы отвечают признакам официального документа, форма же его предъявления в суд роли не играет.

Следует отметить, что в рамках данной статьи невозможно проанализировать весь объем судебной практики по делам в сфере информационной безопасности. Возможно, подробный анализ отдельных категорий дел будет проведен в последующих номерах журнала.

Что в итоге?

Можно заключить, что современная судебная практика рассматривает сегодня различные дела, связанные с информационной безопасностью – с нарушением конфиденциальности информации, разглашением персональных данных, подделкой электронных документов и пр. С каждым годом количество таких дел, находящихся на рассмотрении в судах, растет. Это подтверждает актуальность рассматриваемой проблемы и свидетельствует о необходимости вновь вернуться к ее рассмотрению в ближайшей перспективе.