Законопроект, в частности, предусматривает возможность подтверждения совершения в интернете значимых действий через СМС-сообщения
В конце декабря в Госдуму поступил проект масштабных поправок в законодательство, направленных на комплексное совершенствование мер противодействия преступлениям, совершаемым с использованием информационно-коммуникационных технологий (законопроект № 1110676-8).
Поправки в Закон о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, в частности, предполагают, что упрощенная идентификация клиента-физлица будет происходить, в том числе, посредством ИНН. При необходимости будет установлено предельное число платежных карт, предоставляемых клиенту-физлицу банками, с определенным сроком их действия.
Изменения в Закон о связи помимо прочего дают дефиниции центральной базы данных идентификаторов пользовательского оборудования и абонентского терминала пропуска трафика. Предложено запретить функционирование виртуальных телефонных станций в нестационарных торговых объектах, за исключением ряда случаев. Услуги связи, оказываемые с использованием виртуальных телефонных станций, будут предоставляться абонентам и пользователям услуг связи соответствующего абонента, достоверные сведения о которых предоставлены оператору связи.
Договор об оказании услуг подвижной радиотелефонной связи будет содержать сведения о пользовательском оборудовании, в том числе о его идентификаторе. Оператор связи должен прекратить пропуск на оборудование абонента своей сети связи телефонных вызовов, инициируемых с номера, не входящего российскую систему и план нумерации, при отсутствии согласия абонента на получение таких вызовов. При установлении такого телефонного вызова оператор должен будет информировать абонента об этом.
Предложено запретить передачу идентификационных модулей или информации, нужной для получения доступа к услугам связи с использованием абонентского терминала пропуска трафика или виртуальной телефонной станции. Также планируется уточнить нюансы оказания услуг связи, оказываемых с использованием виртуальных телефонных станций, особенности оказания услуг подвижной радиотелефонной связи лицам, использующим абонентские терминалы пропуска трафика. Вводится понятие центральной базы данных идентификаторов пользовательского оборудования. Определен порядок сбора, хранения и учета информации о страновой принадлежности сетевых адресов. Обработка специальных категорий персональных данных об участии граждан России в СВО или в проведении контртеррористических операций и о принадлежности к семьям таких граждан сможет осуществляться государственными или муниципальными органами, а также иными лицами в случаях и в порядке, определяемых законом.
Совершение в интернете значимых действий будет подтверждаться путем СМС-сообщений или электронного сообщения, направленного с использованием многофункционального сервиса обмена информацией. В банковской сфере и иных сферах финансового рынка указанный перечень значимых действий дополнительно будет согласовываться с ЦБ. Кроме того, будут определены обязанности оператора информационной системы, владельца интернет-сайта, разработчика программы для ЭВМ, участника электронного взаимодействия в корпоративной информационной системе, получивших сертификат безопасности национального удостоверяющего центра, требования к таким документам. При проверке наличия признаков осуществления денежного перевода без добровольного согласия клиента оператор по переводу денежных средств будет использовать сведения, содержащиеся в ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий.
Оператор по денежным переводам будет обязан применять средства защиты своего ПО, используемого клиентом-физлицом в целях осуществления переводов денежных средств, от воздействия вредоносного кода, а также обеспечит защиту от воздействия вредоносного кода. Законопроект также разъясняет, как будет происходить восстановление физлицом доступа к учетной записи в единой системе идентификации и аутентификации при ограничении доступа последнего к ней. Кроме того, будет определен порядок работы ГИС противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий.
Планируется, что закон вступит в силу с 1 сентября 2026 г., за исключением положений, для которых установлены иные сроки вступления их в силу. «Реализация предусмотренных законопроектом мер будет способствовать повышению эффективности предупреждения и пресечения правонарушений, совершаемых с использованием ИКТ, прежде всего связанных с хищением денежных средств у граждан, в том числе относящихся к наиболее социально уязвимым группам населения», – отмечено в пояснительной записке.
Адвокат филиала № 49 Московской областной коллегии адвокатов Татьяна Саяпина считает, что законопроект весьма полезен и логично развивает ранее принятые инициативы, такие как создание ГИС противодействия правонарушениям в ИКТ-сфере, и пытается закрыть многие уязвимости, которыми активно пользуются злоумышленники, например через виртуальные телефонные станции и «серые» сим-карты. «Содержательно рассматриваемая инициатива отражает попытку властей “идти в ногу” с быстро эволюционирующими цифровыми угрозами. Предлагаемые инструменты – такие как лимиты на количество платежных карт, привязка абонентских номеров к конкретному оборудованию через центральную базу IMEI, обязательная идентификация для доступа к виртуальным АТС – теоретически должны усложнить жизнь организованным преступным группам. Особого внимания заслуживает попытка возложить на операторов связи и банки обязанность по возмещению ущерба жертвам мошенничества в определенных случаях, что может создать для них серьезный финансовый стимул к укреплению защитных мер», – полагает она.
Вместе с тем, по мнению эксперта, законопроект вызывает серьезные вопросы относительно баланса между безопасностью и правами граждан. «Предлагаемые меры предполагают сбор и централизацию огромного массива данных и их обмен между операторами, банками и силовыми структурами. Это создает риски для реализации права на частную жизнь и конфиденциальность связи. Нормы о внесудебной блокировке сайтов по признаку “введения в заблуждение” и о приостановке услуг связи на основании реестра “подозрительных номеров” могут быть использованы чрезмерно широко и без должных процессуальных гарантий. Также вызывает опасение потенциальная нагрузка на бизнес (особенно малый и средний) в связи с необходимостью внедрения сложных технических решений и соблюдения новых бюрократических процедур», – заметила Татьяна Саяпина.
Она добавила, что законопроект в целом демонстрирует решимость государства жестко бороться с цифровой преступностью, которая наносит огромный ущерб. «Однако его эффективность будет зависеть от “тонкой настройки” подзаконных актов и качества их исполнения. Ключевым вызовом станет минимизация неизбежных издержек – как для свободы и приватности обычных пользователей, так и для операторов, вынужденных действовать в роли “киберполицейских”. Без прозрачных механизмов обжалования, четких критериев “подозрительной активности” и защиты данных от утечек благие намерения законодателя могут привести к усилению контроля при лишь умеренном снижении уровня киберпреступности», – убеждена адвокат.
Партнер юридической фирмы Law & Commerce Offer Антон Алексеев отметил, что рассматриваемые поправки содержат в себе большое количество изменений в действующее законодательство. «Изменения касаются прежде всего использования цифровых и коммуникационных технологий в различных сферах жизнедеятельности. Все изменения направлены на повышение безопасности и защиту граждан от мошеннических и иных незаконных действий со стороны злоумышленников при использовании гражданами таких технологий и сервисов. В частности, законопроект предполагает, что подтверждение значимых действий в сети “Интернет” будет осуществляться гражданами только посредством СМС-сообщений или мессенджера МАХ. Какие именно значимые действия будут подтверждаться таким способом – закон не устанавливает, это будет определять Правительство РФ. Также законопроект устанавливает изменения в регулирование сферы информатизации, правоотношений в области связи, банковских платежей, которые носят, с одной стороны, протекционистский, а с другой – ограничительный и контролирующий для граждан характер. Например, для открытия банковского счета россиянам теперь потребуется указывать ИНН, а количество банковских карт, владельцем которых может быть один человек, будет ограничено», – заметил он.
«Как правило, любые защитные меры могут быть реализованы только при усилении контроля в соответствующей сфере со стороны государства и введении дополнительных обязанностей для участников соответствующих правоотношений. Наибольший вопрос на данном этапе вызывает качество исполнения и реализации положений законопроекта после его принятия. Именно от Правительства РФ зависит, насколько органично и безболезненно такие положения будут реализованы. Законопроект возлагает на российское правительство принятие необходимых актов, для того чтобы предлагаемые изменения заработали», – заключил Антон Алексеев.