ИСПОЛЬЗОВАНИЕ БИОМЕТРИЧЕСКИХ ПЕРСОНАЛЬНЫХ ДАННЫХ ДЛЯ РАСПРОСТРАНЕНИЯ ЗАВЕДОМО ЛОЖНЫХ СВЕДЕНИЙ И ЕГО УГОЛОВНО-ПРАВОВАЯ ОЦЕНКА

Постиндустриальное общество невозможно представить без обработки персональных данных. Дистанционное получение государственных услуг или совершение банковских операций требует подтверждения личности посредством номера телефона, адреса электронной почты, паспортных данных и т.д. Широкое использование персональных данных не могло не привлечь внимание злоумышленников. По данным Роскомнадзора, за 9 месяцев 2024 года было зафиксировано порядка 110 утечек персональных данных, а в феврале 2024 году зафиксирована крупнейшая (около 500 млн. персональных данных оказались в открытом доступе) [6].

Каковы же последствия утечек персональных данных после кибератак? Станислав Кузнецов, представитель СберБанка, заявил, что к концу 2024 года ущерб от кибератак за 2023-2024 годы составит порядка 1 трлн. руб. [7] Финансовый сектор страдает больше всего: злоумышленники похищают денежные средства с банковских счетов пострадавших лиц, что наносит ущерб репутации финансовых организаций. Персональные данные могут стать средством шантажа и использоваться для сталкинга. В целом утечка персональных данных подрывает безопасность каждого человека и нарушает его конституционные права – право на неприкосновенность частной жизни и право на личную и семейную тайну. Этим обуславливается необходимость использования средств охранительного законодательства для предупреждения незаконного оборота персональных данных.

В настоящем исследовании будет затронута проблема противоправного использования особой разновидности персональных данных (биометрических данных) для распространения заведомо ложных сведений. Понятие биометрических персональных данных закреплено в Федеральном законе «О персональных данных»: биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных [9]. Основанием выделения в особую категорию стали присущие им уникальные свойства: всеобщность, уникальность, постоянство и измеримость. Правовой режим использования таких данных – согласие самого субъекта за исключением случаев, предусмотренных законом. Полного перечня биометрических данных нет. В Единой биометрической системе хранятся изображение лица человека и запись его голоса. Не стоит забывать также о дактилоскопических данных и геномной информации.

В последние годы остро встал вопрос о принятии мер борьбы с использованием биометрических данных для создания дипфейков. Дипфейк – это коммуникационный продукт, созданный с помощью искусственного интеллекта, имеющий определенную цель (получение выгоды или нанесение ущерба), направленный на создание фальсифицированного образа [2, с. 43]. Процесс создания дипфейка включает ряд сменяющих друг друга этапов: сбор необходимых данных, их обработка, создание или поиск готовой модели нейронной сети, генерация дипфейка. Генерация дипфейка заключается в том, что на исходном изображении или видео лицо заменяется на другое. При создании голосового дипфейка необходимый текст произносится синтезированным голосом. Если изображение человека можно найти в открытом доступе (например, в социальных сетях), то запись голоса намного сложнее, что провоцирует рост взлома персональных компьютеров, аккаунтов в социальных сетях и т.д. Создание и распространение дипфейка может нанести моральный, материальный и репутационный вред. Например, миллионы просмотров собрало видео с «фейковым» спикером Палаты представителей США Нэнси Пелоси в нетрезвом состоянии, а в Британии генеральный директор энергетической компании отправил мошенника порядка 220 тыс. евро по просьбе своего руководителя, голос которого был сгенерирован [3]. Прослеживается также рост случаев распространения материалов порнографического характера, созданных с применением технологии дипфейк.

Такие тенденции привлекли внимание политических организаций. В сентябре 2024 года в Государственную Думу РФ был внесен законопроект, предусматривающий установление уголовной ответственности за совершение преступлений с использованием технологий подмены личности. Предложенные поправки затрагивают положение ст. 128.1 Уголовного кодекса РФ (далее – УК РФ). Согласно данной норме, клевета – распространение заведомо ложных сведений, порочащих честь и достоинство другого лица или подрывающих его репутацию [8]. В настоящее время клевета, совершенная с использованием дипфейков, по мнению ряда правоведов, должна квалифицироваться по ч. 2 ст. 128.1 УК РФ, если «будет доказано, что поддельные изображения распространялись со злым умыслом» [4, с. 115].

Перейдем к рассмотрению отдельных положений законопроекта. Сам термин «дипфейк» не используется в тексте предлагаемых поправок. Однако в результате анализа содержания законопроекта выводится следующая дефиниция: дипфейк – фальсифицированное или искусственно созданное изображение или голос человека, которые используются для распространения заведомо ложных сведений о нем, порочащих честь и достоинство другого лица или подрывающих его репутацию. Для того, чтобы не ограничиваться изображением и голосом, разработчики изменений делают оговорку «а равно с использованием биометрических персональных данных потерпевшего или иного лица». Отсюда следует вопрос: какие биометрические персональные данные можно еще использовать для клеветы? Вопрос остается открытым. Возможно, разработчики стремились предугадать дальнейшее развитие технологий. Здесь важно также подчеркнуть, что поправки затрагивают и другие составы преступлений (кража, мошенничество), что в ряде случаев является необоснованным и нецелесообразным. Таким образом, для достижения целей уголовного закона законопроект требует дальнейшей доработки.

Анализ дефиниции, закрепленной в ч. 1 ст. 128.1 УК РФ, показывает, что преступление считается оконченным с момента распространения. В зависимости от источника распространения (публичное выступление), способа совершения (использование служебного положения), содержания ложных сведений (наличие заболевания, представляющего опасность для окружающих) уголовная ответственность за клевету ужесточается. В связи с этим распространение заведомо ложных сведений посредством использования технология дипфейка лишь повышает общественную опасность преступления и должно выступать в качестве квалифицирующего признака, а не отдельного состава. Следует согласиться с мнением, что создание системы защиты от дипфейков «потребует не только внесения изменений в уголовно-процессуальное законодательство, но и полноценной ревизии всех нормативных актов, регулирующих использование биометрических данных человека» [5, с. 270]. Действенным средством регулирования использования дипфейком могут стать ватермарки, размещаемые на материалах, генерируемых нейросетью [1, с. 52]. Такое обозначение должно автоматически накладываться на файлы при их создании.

По итогам проведенного исследования можно сделать вывод, что назревшая необходимость криминализации противоправного использования дипфейков может стать одним из инструментов противодействия утечек личных данных. В связи с этим предлагается дополнить ст. 128.1 УК РФ квалифицирующим признаком – «с использованием биометрических персональных данных, модифицированных нейронной сетью».