Неустановленным лицом на личные телефоны сотрудников организации в мессенджере "Телеграм" от имени руководителя были направлены сообщения, не относящиеся к служебным.
Чьи законные интересы в рассматриваемом случае нарушены?

В настоящее время на территории РФ фиксируется значительное количество случаев направления в мессенджерах, в том числе "Телеграм", от имени руководителей организаций работникам сообщений, имеющих различные конечные цели.

При этом квалификация рассматриваемых ситуаций зависит как от совершения неустановленными лицами предварительных действий, направленных на получение неправомерного доступа к реальному аккаунту руководителя, то есть совершение так называемого взлома аккаунта, либо создание аккаунтов с использованием находящихся в свободном доступе, в том числе в сети Интернет, сведений, которые создают видимость принадлежности конкретному лицу - руководителю (фейковый аккаунт), так и от конечной цели направления сообщений (например, получение неправомерного доступа к информации, совершение мошеннических действий, причинение имущественного ущерба путем обмана или злоупотребления доверием, распространение вредоносных компьютерных программ, вымогательство и др.).

Еще в 2018 г. Верховный Суд РФ указал, что персональные данные, содержащиеся в социальных сетях ВКонтакте, Одноклассники, МойМир, Instragram, Twitter; интернет-порталов Авито и Авто.ру, не являются общедоступными, а потому не могут использоваться иными субъектами в собственных интересах (смотрите определение Верховного Суда РФ от 29 января 2018 г. N 305-КГ17-21291).

Аккаунт в мессенджере и содержащаяся в нем личная информация отнесены к охраняемой законом личной и семейной тайне, противоправный доступ к которой влечет за собой уголовную ответственность.

Так, ст. 272 УК РФ предусмотрена уголовная ответственность за неправомерный доступ к компьютерной информации, под которой понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи.

Как указано в постановлении Пленума Верховного Суда РФ от 15.12.2022 N 37, к числу компьютерных устройств могут быть отнесены любые электронные устройства, способные выполнять функции по приему, обработке, хранению и передаче информации, закодированной в форме электрических сигналов (персональные компьютеры, включая ноутбуки и планшеты, мобильные телефоны, смартфоны, а также иные электронные устройства, в том числе физические объекты, оснащенные встроенными вычислительными устройствами, средствами и технологиями для сбора и передачи информации, взаимодействия друг с другом или внешней средой без участия человека), произведенные или переделанные промышленным либо кустарным способом.

В качестве охраняемой законом компьютерной информации рассматривается как информация, для которой законом установлен специальный режим правовой защиты, ограничен доступ, установлены условия отнесения ее к сведениям, составляющим государственную, коммерческую, служебную, личную, семейную или иную тайну (в том числе персональные данные), установлена обязательность соблюдения конфиденциальности такой информации и ответственность за ее разглашение, так и информация, для которой обладателем информации установлены средства защиты, направленные на обеспечение ее целостности и (или) доступности.

Проблемным моментом привлечения к уголовной ответственности по ст. 272 УК РФ является необходимость доказывания наличия одного из предусмотренных составом преступления последствия в виде уничтожения, блокирования, модификации либо копирования компьютерной информации.

Неправомерные действия, связанные с получением доступа к аккаунту, принадлежащему иному лицу, за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, могут быть квалифицированы и по ст. 137 УК РФ и по ст. 138 УК РФ за нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений граждан в зависимости от установленных обстоятельств (смотрите приговор Кизлярского районного суда Республики Дагестан от 27.05.2022 по делу N 1-25/2022, апелляционное постановление Оренбургского областного суда от 10.01.2024 по делу N 22-51/2024).

Создание фейковых аккаунтов связано как с предварительным собиранием сведений о лице, от имени которого злоумышленниками создается аккаунт, например, сведений о фамилии, имени, отчестве, месте работы, должности, фотоизображение, иных сведений, которые в случае с руководителем организации могут находиться в открытом доступе, в том числе в сети Интернет, а также информации о лицах, на номера телефонов которых будет осуществляться рассылка сообщений, так и фактическими действиями по созданию такого аккаунта и его использованием в противоправных целях, что влечет возможность квалификации действий по ст. 137 УК РФ (нарушение неприкосновенности личной жизни).

Полагаем, что квалификация правонарушения, связанного с собиранием сведений о лице, по ч. 1 ст. 13.11 КоАП РФ как нарушение законодательства РФ в области персональных данных не будет являться обоснованной, поскольку в рассматриваемой ситуации обработка персональных данных (сбор, запись, накопление, хранение, использование и др.) сопряжена с умыслом на совершение в дальнейшем противоправных уголовно наказуемых деяний, что исключает применений указанной нормы.

Квалификация действий, связанных с рассылкой от имени руководителя организации сообщений работникам зависит, как уже отмечалось, от конечной цели злоумышленников. При наличии умысла на получение сведений, позволяющих осуществить доступ к информационной системе организации, действия могут быть квалифицированы по ст. 272 УК РФ (неправомерный доступ к компьютерной информации), в случаях обмана или злоупотребления доверием, направленных на хищение чужого имущества или приобретение права на чужое имущество либо причинение имущественного ущерба собственнику или иному владельцу имущества квалификация осуществляется по ст. 159 и 165 УК РФ соответственно; при распространении или использовании компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, речь идет о возможности квалификации по ст. 273 УК РФ, а в случаях требований передачи имущества или совершения иных действий имущественного характера под угрозой распространения сведений действия могут быть квалифицированы по ст. 163 УК РФ (вымогательство) и др.

Учитывая изложенные обстоятельства, полагаем, что в рассматриваемой ситуации прежде всего нарушены интересы лица, от имени которого осуществлялась рассылка сообщений (руководителя), что не исключает также нарушение интересов и получателей сообщений (работников) как в связи с получением сведений о них, в частности контактной информации, так и с учетом фактически имевших место обстоятельств и действий, которые были ими совершены под влиянием злоумышленников.

Для более точной квалификации совершенных действий требуется детальное изучение конкретных обстоятельств и имеющихся данных.

Стоит также отметить, что в настоящее время судебная практика о привлечении к уголовной ответственности за совершение рассматриваемых действий не сформирована, что обусловлено сравнительно не большим временным периодом, прошедшим с момента появления первых сообщений об имевших место случаях рассылки сообщений от имени руководителей организаций, так и длительностью расследования уголовных дел в связи с необходимостью собирания доказательств.

Ответ подготовил: Эксперт службы Правового консалтинга ГАРАНТ Беликова Татьяна