Украл, синтезировал — в тюрьму: депутаты предложили уголовное наказание за дипфейки

«И нанесения иного существенного вреда»

Согласно статье 272.1 УК («Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные...»), сейчас ответственность наступает за незаконные использование или передачу (распространение, предоставление, доступ), сбор или хранение компьютерной информации с персональными данными, если они были получены в результате взлома или иного незаконного доступа. Инициатива группы депутатов от «Справедливой России» во главе с ее руководителем Сергеем Мироновым предлагает внести в часть 1 этой статьи понятие «автоматизированная обработка» как преступное деяние, из-за чего к ответственности можно будет привлечь за сам факт незаконной алгоритмической обработки чужих персональных данных — даже если они не были распространены или сохранены.

В пояснительной записке указано, что инициатива направлена против дипфейков. «Ключевой этап создания дипфейка заключается в автоматизированной обработке биометрических персональных данных (изображения лица, голоса) без прямого участия человека», — считают авторы инициативы. Такие технологии позволят «создавать поддельные аудио- и видеозаписи, которые могут быть использованы для мошенничества, шантажа, подрыва доверия к институтам власти и нанесения иного существенного вреда», следует из пояснительной записки. Депутаты ссылаются на данные исследования компании «Информзащита», согласно которым только в финансовом секторе в 2024 году было зафиксировано около 5700 атак с применением этой технологии — «на 13% больше показателей предыдущего периода, при этом 15-20% таких атак являются успешными и причиняют реальный материальный и репутационный ущерб».

Инициатива дополняет закон, предусматривающий уголовное наказание за незаконный сбор и обработку персональных данных. Он вступил в силу в декабре 2024 года и предполагает наложение штрафа до 300 000 рублей или лишение свободы до четырех лет за незаконное использование, передачу, сбор или хранение данных, полученных неправомерным путем (и до пяти лет или до 700 000 рублей штрафа, если речь идет о данных несовершеннолетних или биометрии). Если преступление совершено организованной группой, закон предусматривает до десяти лет лишения свободы и штраф до 3 млн рублей. Есть и наказание за создание ресурсов для незаконного оборота персональных данных: штраф до 700 000 рублей или до пяти лет лишения свободы.

Каждый пятый житель России (21%) регулярно сталкивается с контентом, созданным с использованием ИИ. При этом 43% опрошенных признались, что не могут отличить дипфейк от материалов, созданных человеком, следует из результатов недавнего исследования НАФИ.

«Произойдет стигматизация технологии»

Эксперты уверены: документ не способствует реальной защите от злоумышленников и нуждается в доработке. При этом он несет существенные риски и ограничения для развития технологической отрасли, критикуют предложение депутатов в Ассоциации больших данных (АБД, объединяет «Яндекс», VK, «Сбер», Газпромбанк, Т-Банк, Россельхозбанк, банк «Точка», «Мегафон», «Ростелеком», Билайн, МТС и др.) «Понятие «автоматизированная обработка» создает пространство для чрезмерно широких трактовок, что может привести к неоднородной правоприменительной практике и дополнительной нагрузке на судебную систему, — подчеркивают в АБД. — Принципиально важно, чтобы уголовно-правовая оценка строилась исходя из реальной общественной опасности деяния и причиненного вреда, а не из формального факта применения тех или иных технологических инструментов».

Введение «автоматизированной обработки» как самостоятельного состава уголовной ответственности смещает фокус регулирования с вреда и последствий на сам технологический процесс, убежден руководитель правового отдела Just AI Кирилл Тимченко. Фактически объектом оценки, по его словам, становится не результат и не общественная опасность деяния, а способ обработки информации: «Вместо адресного удара по злоупотреблениям (дипфейки, мошенничество, шантаж) произойдет стигматизация технологии как таковой. Уголовное право начнет регулировать не вред, а сам технологический процесс — и это риск криминализировать не преступность, а саму цифровую экономику».

Новая сущность в виде «автоматизированной обработки» загромождает статью, считает эксперт по защите персональных данных и соучредитель Regional Privacy Professionals Association (RPPA) Алексей Мунтян. «По этой логике туда можно вписать и «систематизацию», и «накопление», и «уточнение». Похоже на попытку описать в законе конкретный технический кейс (дипфейки), опасаясь, что общие нормы не сработают», — размышляет он.

Такой подход несет риски правовой неопределенности для IT-бизнеса: под потенциальное регулирование попадают машинное обучение, биометрические технологии, антифрод-системы, аналитика данных и исследовательские процессы, перечисляет Тимченко. Это может привести к ужесточению комплаенса, падению инвестиций и торможению инноваций из-за высокой неопределенности правоприменения и непредсказуемости рисков для бизнеса, предостерегает он. «Более сбалансированной выглядит модель, при которой уголовно-правовые меры адресно направлены на конкретные злоупотребления, например создание дипфейков, мошенничество, шантаж, незаконное использование данных, а не на технологические инструменты как таковые, — рассуждает Тимченко. — Это позволяет защищать граждан, не создавая дополнительных рисков для развития цифровой экономики и легальных IT-проектов».

Незаконная обработка персональных данных уже предусматривает как минимум административное наказание, отметил генеральный директор Института исследований интернета Карен Казарян. По его мнению, инициатива никак не будет способствовать борьбе с дипфейками, ужесточая в то же время наказание за совершенно другие деяния: «Например, за сбор информации в Сети поисковыми агентами, в том числе специализирующимися на поиске утечек персональных данных».

Айтишники под прицелом

Один из этапов создания дипфейков действительно включает в себя автоматизированную обработку персональных данных, но сам процесс, а главное — результат далеко не ограничивается такой обработкой, обращает внимание директор по правовым инициативам ФРИИ Александра Орехович. Автоматизированная обработка персональных данных — по сути, любая их обработка с использованием ПО (даже с использованием таблиц Excel), указывает она: «Кроме того, корректируемая авторами законопроекта статья УК сформулирована таким образом, что уже включает в себя предлагаемые изменения: статья сформулирована максимально широко, криминализируя незаконное использование информации, которое может производиться различными способами, в том числе с применением автоматизированных средств обработки».

Статья 272.1 УК в нынешней редакции запрещает в том числе незаконное использование информации, содержащей персональные данные, обращает внимание адвокат, руководитель практики «Интеллектуальная собственность» Verba Legal Алексей Дарков. «Следовательно, дальнейшее распространение или хранение – необязательное условие для применения статьи. То есть сегодня формулировка «использование информации» не что иное, как ящик Пандоры, который четко в законодательстве и на практике не определен. Поэтому статья не исключает применения против дипфейков и в текущей редакции», — говорит он.

Законопроект фактически вводит в группу риска IT-специалистов разного рода: от аналитиков до ИБ-специалистов, полагают юристы. Главный риск — опасность чрезмерно широкого толкования и, как следствие, «переквалификации в уголовное» большого числа ситуаций, где общественная опасность неочевидна, считает председатель коллегии МКА «Клинков, Пахомов и Партнеры», адвокат по уголовным делам Константин Пахомов. «Автоматизированная обработка — крайне широкий технический термин: он может охватывать и сортировку, и сопоставление, и анализ, и обучение моделей, и иные алгоритмические операции. Если уголовная норма будет применяться формально («обработал — значит виновен»), под удар могут попасть не только преступники, но и лица, действующие без преступной цели: специалисты по ИБ, сотрудники антифрод-подразделений, аналитики, исследователи, а иногда и те, кто работает с данными при недостаточно корректно оформленных основаниях обработки. Для уголовного права это принципиально: по статье 3 УК РФ (принцип законности) запрет должен быть определенным и предсказуемым, иначе возникает риск «резиновой» нормы и неустойчивой практики», — отмечает эксперт. 

Поправка может нести риск привлечения к уголовной ответственности для специалистов в IT-сфере, сместив фокус ответственности с этапа незаконного приобретения персональных данных на этап их технологического применения, согласна адвокат КА «Регионсервис» Иванна Мазинская. «Таким как разработчики и исследователи в сфере данных. Использование публично доступных наборов данных (датасетов) для обучения алгоритмов ИИ — стандартная практика, и она также может оказаться под угрозой уголовного преследования, если происхождение этих данных впоследствии будет признано сомнительным, — рассуждает она. — Сама деятельность по их машинному анализу и обработке может стать основанием для уголовного преследования».

Хотя в пояснительной записке отмечается, что термин «автоматизированная обработка» законодательно устоявшийся, на практике контролирующие и судебные органы формируют разные подходы, говорит советник практики защиты данных Denuo Илья Булгаков. Законопроект, согласно записке, направлен именно против использования сложных генеративных технологий для создания дипфейков, но на практике указанный квалифицирующий признак может быть присущ практически любому действию, осуществляемому с помощью средств вычислительной техники (например, обработка данных в CRM-, ERP-системах, просто хранение данных в какой-либо корпоративной базе данных).

IT-аналитиков и сотрудников компаний Иванна Мазинская называет «наиболее вероятной группой риска». «Допустим, компания несколько лет назад собрала персональные данные клиентов в отсутствие согласия. Под угрозу могут попасть рядовые сотрудники, которые в рамках своих должностных обязанностей годами автоматически обрабатывали эти данные в корпоративных системах для аналитики, отчетности или коммуникации, — продолжает она. — Или же специалисты по ИБ: их профессиональный долг — искать в открытых и закрытых источниках утечки данных своей компании и анализировать найденные базы. Такой анализ по своей сути является автоматизированной обработкой персональных данных, часто полученных из сомнительных источников».