Незаконный оборот персональных данных (ст. 272.1 УК РФ)
Автор анализирует новое преступление, появившееся в уголовном законе в конце 2024 г., а именно незаконный оборот персональных данных (ст. 272.1 УК РФ). Обсуждаются признаки нового состава преступления, особое внимание уделяется законодательству о персональных данных, поскольку оно является основой для понимания уголовно-правовой нормы. Автор обсуждает соотношение между административным и уголовным законодательством, разбирает типичные ситуации, криминализированные новым законом, и разрешает вопросы конкуренции уголовно-правовых норм. В частности, он заключает, что ответственность по вновь введенным по указанным частям ст. 13.11 КоАП РФ будет наступать для оператора персональных данных за непринятие надлежащих мер к их охране, следствием чего становится утечка персональных данных. То есть в ситуации неправомерного оборота персональных данных, когда как минимум неправомерный доступ к ним получают сотрудники оператора, последние будут нести уголовную ответственность по ст. 272.1 УК РФ, а сам оператор - по указанным частям ст. 13.11 КоАП РФ.
Ключевые слова: персональные данные; незаконный оборот; личная тайна; сбор; распространение.
The author analyses the new crime introduced into the criminal legislation in the end of 2024, namely, illegal circulation of personal data. The features of the new corpus delicti are discussed, special attention is given to legislation on personal data because it provides a basis for understanding the criminal law provision. The author discusses relation between administrative and criminal legislation, addresses typical situations criminalized by the new law, and resolves the issues of competition of criminal law provisions. In particular, he concludes that liability under the newly introduced parts of Article 13.11 of the Code of Administrative Offenses of the Russian Federation will apply to the operator of personal data for failure to take appropriate measures to protect them, which results in a leak of personal data. That is, in the situation of unlawful circulation of personal data, when the operator's employees gain at least unlawful access thereto, the latter will be held criminally liable under Article 272.1 of the Criminal Code of the Russian Federation, and the operator himself - under the said parts of Article 13.11 of the Code of Administrative Offenses of the Russian Federation.
Key words: personal data; illegal circulation; personal secret; collection; dissemination.
Появление в уголовном законе ст. 272.1 УК РФ, устанавливающей уголовную ответственность, если говорить обобщенно, за незаконный оборот персональных данных (далее также - ПД), ставит перед практикой ряд сложных квалификационных вопросов, на которые можно попытаться предложить ответы уже сейчас, не дожидаясь появления первых судебных решений.
Указанная статья предусматривает два самостоятельных состава преступления, а именно незаконный оборот ПД (ч. 1 - 5) и создание специальных программ для незаконного оборота ПД (ч. 6). И если деятельность, подпадающая под ч. 6 ст. 272.1 УК РФ, очевидно находится в подавляющем большинстве случаев в нелегальном поле, то действия, образующие первый состав преступления, необходимо отграничивать как от законного поведения, так и от смежных составов административных правонарушений.
1. Незаконный оборот ПД. С точки зрения предмета посягательства ч. 1 и 2 статьи (в обеих предусмотрен состав средней тяжести с разницей по максимуму возможного наказания в один год лишения свободы) различаются: в первой устанавливается ответственность за посягательство на компьютерную информацию, содержащую персональные данные <1>, а во второй - особо на компьютерную информацию, содержащую персональные данные несовершеннолетних лиц, специальные категории персональных данных (ст. 10 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - ФЗоПД)) и (или) биометрические персональные данные <2> (ст. 11 ФЗоПД).
--------------------------------
<1> Далее для удобства, если иное не оговорено, этот оборот будет заменен простой ссылкой на персональные данные.
<2> См. подробнее: Чукреев В.А. Персональные данные, в том числе биометрические данные, как предметы уголовно-правовой охраны // Вестник Университета имени О.Е. Кутафина (МГЮА). 2022. N 3. С. 107 - 116.
Следует сразу оговориться, что ответственность по ст. 272.1 УК РФ наступает в связи с незаконным оборотом именно и только компьютерной информации, содержащей персональные данные.
Сначала остановимся на нормативной составляющей предмета посягательства. Определение компьютерной информации дается в п. 2 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. N 37 "О некоторых вопросах судебной практики по уголовным делам о преступлениях в сфере компьютерной информации, а также иных преступлениях, совершенных с использованием электронных или информационно-телекоммуникационных сетей, включая сеть Интернет" <3>. Что же касается ПД, то судебная практика, следуя, по сути, оценочной дефиниции п. 1 ст. 3 ФЗоПД, достаточно широко понимает их перечень. Например, "к таким сведениям относятся: фамилия, имя, отчество, дата и место рождения, пол, адрес места жительства, сведения из документа, удостоверяющего личность, идентификационный (регистрационный, учетный) номер налогоплательщика (при наличии), семейное положение, социальное положение, образование, национальность, профессия, доходы, иные сведения, относящиеся к субъекту персональных данных" <4>.
--------------------------------
<3>
<4> Определение Третьего кассационного суда общей юрисдикции от 23 марта 2022 г. по делу N 88а-4692/2022.
Соответственно, ПД, не представленные в компьютерном виде (типичный пример - ПД на бумажном носителе), выпадают из периметра уголовно-правовой охраны по ст. 272.1 УК РФ. Незаконные действия с ними следует квалифицировать по ст. 137 УК РФ или (в редких случаях) по ч. 6 ст. 13.11 КоАП РФ. Правильность такого решения законодателя уже подвергнута сомнению <5>.
--------------------------------
<5> См.: Филатова М.А. (Не)ожидаемая криминализация незаконного оборота персональных данных: вопросов больше, чем ответов // Закон. 2025. N 1. С. 149.
Не исключается уголовная ответственность в отношении обезличенных ПД, защищенных паролем или иными средствами защиты информации.
Объективная сторона состава преступления предполагает своего рода двухэтапность посягательства: сначала имеет место получение лично или кем-то другим компьютерной информации, содержащей персональные данные, путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, вслед за чем совершаются незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение этой компьютерной информации. О правильности такого понимания объективной стороны можно поспорить, однако обратим внимание на следующие два основных варианта совершения преступления. Если ПД получены незаконно самим использующим и т.п. их лицом, то оба действия для него как бы "схлопываются" в одно деяние: их сбор становится получением ПД незаконным путем, за которым вполне естественно следует их хранение. Если же ПД получены иным лицом, то для уголовной ответственности достаточно их принять на хранение, осознавая, что они получены незаконным путем <6>. Можно предположить, что на практике будет доминировать первый вариант совершения посягательства.
--------------------------------
<6> Закон, безусловно, не требует, чтобы лицо само получило незаконным путем ПД: оно может как осуществить это лично (и тогда это будет сбор информации), так и получить такую информацию от третьих лиц для целей ее последующего незаконного использования при условии осознания того, что информация получена незаконным путем.
Получение лично или кем-то другим компьютерной информации, содержащей ПД, путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем. Закон указывает в целом на незаконность получения компьютерной информации, содержащей ПД, специально выделяя только неправомерный доступ к средствам ее обработки, хранения или иное вмешательство в их функционирование.
Понятие "неправомерный доступ" раскрывается в п. 5 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. N 37, и, обобщая варианты неправомерного доступа (незаконного пути), можно выделить три возможные ситуации.
Начнем с первых двух как самых простых:
- в принципе незаконный доступ, когда у лица нет никаких полномочий на доступ к информации ("чистый" незаконный доступ). Здесь судебная практика никогда не сомневалась в отнесении такого доступа к незаконному;
- незаконный доступ в случае, когда у лица есть правомерный доступ к компьютерной информации, однако он осуществляется им с нарушением установленного внутренними нормативными документами порядка, например в неслужебных целях, с подключением личных запоминающих устройств и т.п.
В последнем случае вплоть до настоящего времени судебная практика неопределенна <7>, <8>, <9>. Вместе с тем следует отметить наметившийся тренд все-таки признавать доступ неправомерным и во второй ситуации, что предполагается широкими формулировками п. 5 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. N 37.
--------------------------------
<7> См. подроб.: Грибанова Д.В., Филатова М.А. Неправомерный доступ к сведениям, составляющим тайну, в России, США и Великобритании // Уголовное право. 2020. N 5. С. 13 - 24.
<8> См.: Зубцов А., Бесерра Е. Уголовно-правовая охрана банковской тайны: анализ отечественной судебной практики // Уголовное право. 2020. N 5. С. 51 - 63.
<9> См.: Филатова М.А. Указ. соч. С. 150.
Таким образом, например, лицо, являющееся работником организации, осуществляющей обработку персональных данных, и имеющее правомерный доступ к персональным данным, в случае доступа к этим данным с нарушением внутренних нормативных документов организации с высокой долей вероятности в судебной практике будет считаться получившим персональные данные незаконным путем.
Третий вариант получения ПД незаконным путем имеет место тогда, когда компания - оператор ПД осуществляет обработку последних на ненадлежащем правовом основании. Например, сбор ПД может осуществляться без согласия субъекта таких данных, тогда как оно требуется законом; с таким согласием, однако полученным с нарушением установленного порядка <10>; получение или предоставление ПД могут быть в избыточном для процесса объеме (что запрещено ч. 5 ст. 5 ФЗоПД); обработка ПД может быть несовместима с целями их сбора (что запрещено ч. 2 ст. 5 ФЗоПД). Представляется, что все эти случаи, хотя и с разной долей вероятности, будут рассматриваться как сопряженные с незаконным получением ПД. Совершенно определенно это можно утверждать о сборе без согласия субъекта ПД или с согласием, полученным с нарушением установленного порядка.
--------------------------------
<10> Типичный пример - согласие оформлено ненадлежащим образом. Более сложная ситуация возникает тогда, когда согласие формально получено, однако впоследствии оно признается порочным и, как следствие, неполученным (например, при множественности или избыточности целей обработки, несоответствии целей сбора реальным правоотношениям). В таком случае ПД с высокой долей вероятности будут сочтены полученными незаконным путем, и единственной преградой от уголовной ответственности станет субъективная сторона преступления, а именно отсутствие осведомленности работника оператора ПД о том, что он действует на основании порочного согласия (и напротив, те сотрудники оператора ПД, которые будут осведомлены об этом, будут подлежать ответственности по ст. 272.1 УК РФ).
Что касается ситуации с нарушением установленного порядка передачи самих ПД <11> или их обработки другому субъекту, то при условии осведомленности сторон это влечет, на наш взгляд, административную ответственность для компании - донора данных (так как она получила их законным путем), но уголовную ответственность для физических лиц - сотрудников компании - реципиента данных (они заведомо получают их незаконным путем) и, не исключаем, уголовную ответственность в форме пособничества этому для физических лиц - сотрудников компании - донора данных.
--------------------------------
<11> Например, сотрудник оператора, действуя с благими бизнес-целями, передал ПД компании-контрагенту с нарушением внутренних процедур и в целом требований ФЗоПД.
Предположительно также будут являться не преступными, а квалифицироваться только как административное правонарушение действия по обработке ПД после отзыва согласия на их обработку субъектом ПД (ч. 2 ст. 9 ФЗоПД), поскольку и в этой ситуации они будут считаться исходно законно полученными.
Пункт 1 примечаний к статье устраняет преступность деяния в случаях обработки ПД физическими лицами исключительно для личных и семейных нужд. Правовая природа этого примечания несколько туманна; рискнем предположить, что это lex specialis вне ФЗоПД, который допускает обработку ПД в указанных случаях без согласия субъекта таких данных. Пределы действия примечания задаст судебная практика, однако количество "пограничных" ситуаций будет достаточно велико <12>. Например, как быть с персональными данными, собираемыми для целей судебных споров между бывшими супругами, если это данные третьих лиц (любовников и т.п.); персональными данными третьих лиц, которые желательно получить для личных целей (отправить букет домой кумиру)? В качестве ориентира можно, как представляется, использовать параметр принадлежности ПД в описываемой ситуации членам одной семьи или, более широко, родственникам; оправдывать действия с ПД иных лиц "личными и семейными нуждами" нельзя.
--------------------------------
<12> М.А. Филатова справедливо подмечает: "Что такое "нужды"? Нужды могут быть личными, но неправомерными (как в случае действий из личной заинтересованности). Ведь продать базу данных клиентов своего работодателя для того, чтобы прокормить своих четверых детей, - это тоже личная, даже семейная нужда! А оформление мошеннического кредита из личных нужд?" (см.: Филатова М.А. Указ. соч. С. 151).
Обратим внимание на еще одну проблемную ситуацию. В целях совершенствования систем защиты ПД и предотвращения их утечек многие крупные организации силами своих служб компьютерной безопасности или привлеченных компаний осуществляют постоянный мониторинг Интернета на предмет выявления скомпрометированных ПД, источников утечек и т.д. Эта работа с необходимостью предполагает анализ баз ПД, размещенных незаконно в Интернете. В равной мере построение архитектур компьютерной безопасности предполагает проверку их "на прочность", что также иногда связано с задействованием скомпрометированных ПД. Эти и все иные схожие ситуации, нацеленные на совершенствование систем защиты компьютерной информации от неправомерного воздействия, в настоящее время становятся потенциально подпадающими под состав ст. 272.1 УК РФ. Представляется, что если обработка ПД необходима для проведения осуществляемых оператором ПД или лицом, которому оператор поручил их обработку, самостоятельно либо с привлечением лиц, имеющих в соответствии с законодательством право на осуществление такой деятельности, мероприятий по обнаружению, предупреждению и ликвидации последствий компьютерных атак на инфраструктуру оператора ПД, то эти действия не должны считаться уголовно наказуемыми. За отсутствием прямого указания на разрешенность этих действий в ФЗоПД исключить преступность деяния в такой ситуации сейчас могут положения ч. 2 ст. 14 или ст. 39 УК РФ <13>.
--------------------------------
<13> Применительно к ст. 273 УК РФ такая ситуация разрешается в пользу устранения наказуемости в последнем абзаце п. 11 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. N 37.
Незаконные использование и (или) передача (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей ПД. Набор действий, за которые установлена уголовная ответственность, в связи с незаконным оборотом ПД является следующим:
- использование. Оно может происходить в любых целях;
- передача (распространение, предоставление, доступ). Такая передача может быть как за денежное вознаграждение, так и нет; как определенному, так и неопределенному кругу лиц;
- сбор. Это действие соотносится с получением компьютерной информации, содержащей ПД, незаконным путем;
- хранение. Оно может выражаться в хранении компьютерной информации на любом носителе; длительность хранения не влияет на установление признаков состава преступления. Хранение ПД, полученных законным путем, однако по истечении срока их хранения, состава преступления не образует ввиду исходной законности получения ПД.
Обобщая эти действия, можно предложить несколько типичных ситуаций, с которыми будет чаще всего сталкиваться судебная практика:
- лицо, являющееся работником оператора ПД, незаконно копирует компьютерную информацию, содержащую ПД, на личный носитель: в его действиях есть незаконные сбор и хранение;
- это же лицо после сбора и хранения передает данные за вознаграждение третьим лицам: в его действиях есть незаконные сбор, хранение и передача;
- обработка ПД осуществляется работником оператора ПД, осведомленным о том, что они получены незаконным путем.
Для наступления уголовной ответственности достаточно совершить хотя бы одно действие из описанных в законе. Так, лицо может просто хранить носитель информации с ПД, зная, что они получены кем-то еще незаконным путем, и этого будет достаточно для наступления уголовной ответственности. При этом нет необходимости устанавливать масштабную утечку ПД, какой-то существенный материальный ущерб и т.п. В равной мере для наступления уголовной ответственности не имеет значения длительность хранения компьютерной информации, содержащей ПД, объем такой информации (достаточно информации хотя бы об одном человеке). Иными словами, состав преступления является типично формальным, а в такой разновидности преступных действий, как хранение, еще и длящимся.
Субъективная сторона характеризуется прямым умыслом и в случае получения ПД другим лицом - осознанием лицом, совершающим уже иные незаконные действия с ними, факта незаконности их исходного получения. Здесь следует обратить внимание, что в крупных компаниях - операторах ПД установление факта незаконности получения ПД с последующей их обработкой большим числом работников (разного рода менеджерами и т.п.) исключит уголовную ответственность последних в случае неосведомленности об указанном факте. К уголовной ответственности должны будут привлекаться в таком случае лица, разработавшие, согласовавшие и (или) внедрившие процесс незаконной обработки ПД. Иными словами, признаки субъективной стороны состава преступления в случае с крупными компаниями - операторами ПД получат решающее значение.
Закон специально не выделяет признаки специального субъекта, и если в случае с "чистым" незаконным доступом к ПД субъект очевидно является общим, то вот нарушение процессов обработки ПД внутри организации - оператора таких данных, влекущее признание получения таких данных незаконным путем, предполагая уголовную ответственность конкретных работников за действия с ПД, не исключает ответственности топ-менеджмента по правилам о соучастии (ч. 3 - 5 ст. 33 УК РФ). Квалификация действий по признаку их совершения организованной группой (ч. 5 ст. 33 УК РФ) позволит расценивать всех вовлеченных в незаконный оборот ПД как соисполнителей.
Из квалифицирующих признаков (ч. 3 - 5 статьи) следует отметить признак причинения крупного ущерба (свыше 1 млн руб. согласно п. 2 примечаний к ст. 272 УК РФ), который можно связывать с понесенными расходами на совершенствование системы защиты ПД, восстановление компьютерных систем после неправомерного воздействия на них <14>. Следует также обратить внимание на трансграничные квалифицирующие признаки в ч. 4 статьи, в особенности на трансграничную передачу компьютерной информации, содержащей ПД: этот признак будет наличествовать в случае, например, незаконного хранения такой информации в "облачных" хранилищах, физические сервера которых находятся за пределами Российской Федерации.
--------------------------------
<14> В качестве понимания ущерба можно сослаться на Апелляционное постановление Московского городского суда от 12 ноября 2014 г. по делу N 10-15427/2014: "Ущерб может быть причинен моральный, материальный, ущерб деловой репутации, к ущербу могут быть также отнесены вынужденные финансовые потери и затраты на восстановление рабочего состояния средств хранения, обработки или передачи охраняемой информации, последнее и было указано следователем в фабуле предъявленного А. обвинения на основании полученной от представителя потерпевшего справки о характере и размере причиненного ущерба в сумме 1 155 600 рублей".
Отграничение ст. 272.1 УК РФ от административных правонарушений, квалифицируемых по ст. 13.11 КоАП РФ. Наряду с введением уголовной ответственности за незаконный оборот ПД, законодатель существенно дополнил ст. 13.11 КоАП РФ (Федеральный закон от 30 ноября 2024 г. N 420-ФЗ). При этом ст. 272.1 УК РФ очевидно конкурирует как минимум с ч. 1 ст. 13.11 КоАП РФ, устанавливающей ответственность за обработку ПД в случаях, не предусмотренных законодательством, либо обработку, несовместимую с целями сбора ПД, со стандартной оговоркой "если эти действия не содержат уголовно наказуемого деяния".
Разграничивая нормы уголовного и административного законодательства, можно заключить, что для физических лиц административная ответственность за многие действия, ранее подпадавшие под ст. 13.11 КоАП РФ, в настоящее время замещена уголовной ответственностью. Так, за обработку ПД "в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных", либо "несовместимую с целями сбора персональных данных", либо "без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных" в настоящее время будет наступать уже уголовная ответственность с оговоркой - ПД должны быть получены незаконным путем. Соответственно, незаконная обработка персональных данных, но полученных законным путем, будет по-прежнему квалифицироваться по ст. 13.11 КоАП РФ.
В качестве примера "перетекания" ответственности можно привести следующее дело:
"20 января 2022 года в период с 11.00 до 15.00 часов прокуратурой Зеленоградского административного округа г. Москвы в связи с обращением гражданки К. была проведена проверка исполнения законодательства о персональных данных ООО ... В ходе проверки был установлен факт хранения с 2 октября 2021 года на компьютерах, используемых администраторами ООО ... 170-и фотографий учащихся ООО "Инновация" с указанием фамилий, имен и отчеств каждого ребенка. Письменные согласия родителей на обработку персональных данных их детей в управляющей компании отсутствовали. Должностное лицо - старший администратор ООО ... Д. на основании приказа являлся лицом, ответственным за обработку персональных данных субъектов при оформлении электронных карт доступа для прохода в здание БЦ "Зеленоград". Таким образом, старший администратор ООО ... Д., в нарушение Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" осуществлял незаконную обработку персональных данных 170-и учащихся ООО "Инновация" в период с 2 октября 2021 года по 20 января 2022 года" <15>.
--------------------------------
<15> Постановление Второго кассационного суда общей юрисдикции от 17 ноября 2022 г. по делу N 16-8027/2022.
В этом казусе компьютерная информация, содержащая ПД, была получена незаконным путем (при отсутствии согласия субъекта ПД), а впоследствии осуществлялось как минимум ее хранение. В настоящее время такие действия следовало бы квалифицировать уже как преступление по ч. 2 ст. 272.1 УК РФ.
При этом уголовная и административная ответственность могут "сочетаться" в силу ч. 3 ст. 2.1 КоАП РФ: компания - оператор ПД будет привлекаться к административной ответственности по ст. 13.11 КоАП РФ, а физическое лицо - работник этой компании уже к уголовной ответственности по ст. 272.1 УК РФ.
Также следует обратить внимание на новые ч. 12 - 18 ст. 13.11 КоАП РФ, которые сформулированы практически идентичным образом: это действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) ПД (ответственность различается в зависимости от объема допущенного нарушения). Исходя из конструкции текста закона ("действия (бездействие) оператора, повлекшие...") и текста пояснительной записки к законопроекту ответственность по указанным частям ст. 13.11 КоАП РФ будет наступать для оператора ПД за непринятие надлежащих мер к их охране, следствием чего становится утечка ПД. То есть в ситуации неправомерного оборота ПД, когда как минимум неправомерный доступ к ним получают сотрудники оператора, последние будут нести уголовную ответственность по ст. 272.1 УК РФ, а сам оператор - по указанным частям ст. 13.11 КоАП РФ.
Конкуренция норм. Что касается конкуренции новой статьи уголовного закона с иными нормами, то она, как представляется, разрешается следующим образом. Незаконный оборот ПД, представленных в компьютерном виде и образующих одновременно с тем сведения о частной жизни лица, составляющих его личную или семейную тайну или иную охраняемую законом тайну <16>, должен был бы, следуя правилу ч. 3 ст. 17 УК РФ, квалифицироваться только по ст. 137 или 183 УК РФ (оставим за скобками вопрос о возможных лакунах при описании объективной стороны этих составов, оставляющих возможность вменить ст. 272.1 УК РФ, например, в связи с подготовительными действиями к деянию, предусмотренному ч. 2 ст. 183 УК РФ). Однако если иметь в виду тенденцию судебной практики, наметившуюся в п. 16 Постановления Пленума Верховного Суда РФ от 15 декабря 2022 г. N 37, а также то, что деяние-способ (назовем его условно так) наказывается все-таки строже, чем деяние, которое им совершается, содеянное, скорее всего, будет квалифицироваться по совокупности преступлений. Вновь отметим, что подход законодателя к регламентации ответственности здесь и с точки зрения объема криминализации, и с точки зрения пенализации должен был бы быть более точным. Правда, можно надеяться, что с введением ст. 272.1 УК РФ те действия в отношении ПД, которые ранее "с натяжкой" квалифицировались по ст. 137 УК РФ (например, в отношении паспортных данных, иных данных о гражданах, содержащихся в базах правоохранительных органов), перейдут под "зонтик" новой статьи, оставив в сфере ст. 137 УК РФ подлинные тайны лица.
--------------------------------
<16> О соотношении понятий см. подробнее: Филатова М.А. Персональные данные как предмет преступного посягательства // Уголовное право. 2021. N 11. С. 35 - 43.
2. Второй состав преступления в ст. 272.1 УК РФ криминализирует создание и (или) обеспечение функционирования информационного ресурса (сайта в сети Интернет и (или) страницы сайта в сети Интернет, информационной системы, программы для электронных вычислительных машин), заведомо предназначенного для незаконных хранения, передачи (распространения, предоставления, доступа) компьютерной информации, содержащей ПД, полученной незаконным путем. Целевая направленность нормы очевидна: наказуемость действий по размещению в Интернете баз ПД, разного рода телеграм-ботов, позволяющих получить доступ к скомпрометированным ПД, и т.п. В отличие от первого состава преступления, он не вызывает, на первый взгляд, больших сложностей. Нельзя вместе с тем не отметить юридико-технического нюанса: соответствующий ресурс предназначается для хранения и передачи ПД. Функционирование такого же ресурса, но нацеленного на их сбор, должно квалифицироваться по ст. 272 или 273 УК РФ.
