Будут ли штрафовать за передачу аккаунтов по новым законам
Юрист (то есть я) пытается разобраться, насколько всё плохо.
Что случилось?
Газеты и паблики облетела новость, что в Государственной Думе рассматривается законопроект, вводящий внушительные штрафы за передачу данных для входа в аккаунты на сайтах. Теоретически это касается не только тех, кто этими аккаунтами торгует, но и всех, кто пользуется услугами смены региона, продления геймпасса, пополнения баланса Steam, прокачки персонажей и прочими штуками, при которых на время дает логин и пароль исполнителю. Такой законопроект действительно есть, его номер 755710-8, и на сайте Госдумы можно его почитать (файл «Текст законопроекта к третьему чтению» в самом низу).
Я открыл текст, и там что-то про транспортную экспедицию, тут нет ошибки?
Нет, это регулярно применяемая в последние годы тактика оперативного принятия законопроектов. Дело в том, что для внесения проекта нужно подготовить и приложить к нему кучу бумажек — пояснительную записку, финансовое обоснование, антикоррупционную экспертизу и так далее, а потом еще ждать, пока ответственные комитеты дадут свои заключения и назначат дату рассмотрения всем составом Думы.
Поэтому появилась тактика, когда какие-то нормы, которые нужно принять быстро, вносятся не отдельным законопроектом с нуля, а в виде поправок в тот, который уже прошел подготовительную стадию. Например, поправки, запрещающие снимать доллары, были добавлены в какой-то абсолютно незначимый проект про информирование потребителей банковских услуг.
Так это наверняка нарушение?
Определенно! Регламент самой Государственной Думы запрещает так делать. Но когда группа юристов, с которой я имею честь быть знакомым, подготовила запрос в Конституционный Суд с указанием на это нарушение, тот посчитал, что всё нормально, и депутаты вправе делать такие твисты.
Но ведь есть шансы, что закон не примут?
Почти наверняка примут. Законопроекты в Государственной Думе проходят три чтения:
- в первом голосуют за «сырую» концепцию проекта, фактически решая, рассматривать ли ее детальнее;
- во втором голосуют по таблице поправок, конкретизирующих проект;
- в третьем чтении принимают проект в целом, изменения тут уже не вносятся.
Дольше всего проекты зависают на подготовке ко второму чтению (некоторые висят там годами), тогда как третье является скорее техническим. Фактически у депутатов есть механизм, по которому они могут вернуть проект с третьего чтения обратно во второе, но к нему прибегают редко, и в этом случае такого тоже наверняка не будет: поправки предложены Правительством, и его инициативы, в отличие от депутатских, принимаются почти всегда.
Этот проект прошел два чтения, третье назначено на 22 июля, и на сайте Госдумы уже готов проект постановления о принятии закона.
Да, формально для вступления в силу закон должен еще получить одобрение Совета Федерации (но сенаторы могут просто его не рассматривать, и тогда одобрение происходит автоматически) и быть подписан президентом, но я не помню случаев за последние 5... 15 лет, когда принятый Госдумой закон был отклонен на каком-то из этих этапов. Очень уж качественно работают законотворцы.
Разбираемся в тексте
Так что будем разбираться, кому грозят поправки. Почти все паблики и газеты запостили чей-то вольный пересказ будущей статьи, а мы посмотрим прямо текст закона. Новая статья 13.29² Кодекса об административных правонарушениях выглядит так:
Передача информации, необходимой для регистрации и (или) авторизации пользователя информационно-телекоммуникационной сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса, иному лицу, если эти действия не содержат признаков уголовно наказуемого деяния, - влечет <...>
П р и м е ч а н и е. Не является административным правонарушением передача информации, необходимой для регистрации и (или) авторизации пользователя информационно-телекоммуникационной сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса, иному лицу для правомерного использования таким лицом функциональных возможностей информационного ресурса по поручению пользователя информационно-телекоммуникационной сети «Интернет» или с его согласия.
Разберем по частям, что здесь написано.
Корявость формулировок начинается с первой же фразы. Более-менее понятно, что такое «передача информации» и какая информация необходима для авторизации (очевидно, логин и пароль). Но что за информация, «необходимая для регистрации пользователя»? Если на сайте можно зарегистрироваться, введя е-мейл, его передача тоже будет нарушением? Скорее всего, тут имеется в виду регистрация на различных государственных сайтах, где надо вводить данные паспорта или там СНИЛС, но уровень проработанности текста уже можете оценить.
Идем дальше. Что такое «информационный ресурс»? В самом КоАПе нет понятия, но если полистать другие нормативные акты, можно найти два понимания. В первом варианте это какой-то государственный онлайн-сервис вроде личного кабинета на сайте ФНС или проверки должников у ФССП. И такое понимание звучит прямо логичным — разумно, что нельзя передавать доступ к своим Госуслугам или mos.ru.
Но если посмотреть законы про разные ограничения в Интернете, то там под информационным ресурсом понимается всё подряд. Например, в законе о рекламе используется формулировка «информационные ресурсы (сайты в информационно-телекоммуникационной сети "Интернет", страницы сайта в информационно-телекоммуникационной сети "Интернет", информационные системы и (или) программы для электронных вычислительных машин)». В ограничения для иноагентов есть термин «информационный ресурс иностранного агента», под которым понимается всё вплоть до страниц в соцсетях. В «Методике определения количества пользователей» информационный ресурс — это и интернет в целом, и отдельные сайты в нём.
Делаем вывод, что и Steam, и DTF — информационные ресурсы, хоть напрямую это и не прописано.
Но есть гораздо более интересная и важная недомолвка в поправке — а на кого распространяется действие нормы? Иными словами, будет ли подлежать ответственности пользователь, который сам передал свои же данные?
Читаем проект ещё раз: запрещена «передача информации <...> иному лицу». Вроде бы при буквальном прочтении неважно, кем именно эта информация передается. Но если посмотреть в соседнюю новую статью про запрет передавать сим-карту, то там: «Незаконная передача абонентом-физическим лицом абонентского номера». Ого, тут-то субъект указан! Можно сделать из этого вывод, что если бы сам пользователь подлежал ответственности за передачу данных для входа, то на это тоже было бы указано в тексте статьи?
Продолжая поиск аналогий, можно вспомнить статью УК про нарушение тайны переписки: запрещенные действия в ней сформулированы просто как «нарушение тайны переписки», но при этом к самим участникам переписки, которые ее разгласили без согласия остальных, она не применяется.
Ещё один косвенный довод в пользу такого понимания новой статьи содержится в примечании, которое снимает противоправность передачи данных для входа, если она была сделана по поручению или с согласия пользователя. Почему не упомянут случай, когда сам пользователь передал данные? Может, потому что предполагается, что такие действия изначально ненаказуемы?
То есть, скорее всего, в этой статье имеется в виду ситуация, когда какой-то злоумышленник передает чужие данные для входа третьему лицу. Условно, вы подсмотрели пароль от соцсети своего приятеля и выложили его на двачах. Или узнали данные для входа в Стим и продали их. Это сходится с заявлениями депутатов, что поправки нужны для борьбы с мошенниками (хотя бы формально).
Обновление 20:30: бдительные читатели заметили, что я недостаточно внимания уделил примечанию, которое вроде бы освобождает от ответственности за передачу аккаунта с согласия пользователя. Оно мне не нравится указанием на то, что передача должна быть для правомерного использования. Скорее всего, тут имелось в виду, что нельзя передать, к примеру, свой профиль в соцсети для использования его в разводе других людей на деньги, но фактически неправомерным использованием можно посчитать и любую передачу игрового аккаунта в нарушение пользовательского соглашения (передал аккаунт майкрософт для продления геймпасса = нарушил пользовательское соглашение = нарушил норму гражданского кодекса = передал для неправомерного использования = примечание не работает). Поэтому я бы по таким делам строил защиту из того, что пользователь вправе безусловно передавать свой аккаунт.
То есть эта статья не будет применяться к тем, кто передает данные своего аккаунта?
Вообще нет таких гарантий. Вполне возможно, что я неправильно её толкую. Или толкую правильно, но периодически она будет применяться и в иных случаях (никаких ограничений на такое применение в тексте-то нет). Например, у нас в КоАПе до сих пор есть запрет на производство фильмов с 25-ым кадром, и коллеги мне рассказывали о случае, когда по этой статье был привлечена девушка, обидный пост которой в интернете причинил психологический вред сотруднику.
Возможно, что новая статья будет такой же полуживой и применяться раз в год, но есть риск, что она станет более массовой, и по ней нужно будет набирать показатель АППГ+1 со всеми вытекающими. Словом, публично рассказывать о том, что вы передали аккаунт кому-то на активацию, точно не стоит — всё может быть использовано против вас.
Кстати, что тут за приписка про уголовно наказуемое деяние?
А, да, точно. Параллельно с описанным рассматривается законопроект номер 462337-8, который вводит уголовную ответственность с реальным лишением свободы за
Организация деятельности по передаче информации, необходимой для регистрации и (или) авторизации пользователя сети «Интернет» для получения доступа к функциональным возможностям информационного ресурса, иным лицам, если эти деяния совершены из корыстной заинтересованности либо в целях совершения иного преступления
А также за участие в такой деятельности. До двух лет лишения свободы.
Получение дохода — это корыстная заинтересованность, примечания про «передачу с согласия пользователя» здесь нет, так что, на мой взгляд, деятельность известных на DTF площадок легко может быть притянута под описанные действия, как только у кого-то из привлекателей появится желание или поступит обращение бдительного гражданина.
А что делать обычным геймерам?
- Какое-то время после вступления закона в силу (1 сентября 2025 года) ждать, оценивая, как будет складываться практика. Есть шанс, что к этому моменту государство само уже забудет про то, что приняло. С другой стороны, обычно проекты, о которых можно забыть, не принимаются так оперативно.
- Не пользоваться мессенджерами и соцсетями, факт пересылки логина-пароля через которые с большой вероятностью станет известен третьим лицам.
- Не публиковать рассказы, как вы передавали кому-то свой стимовский аккаунт для смены региона или аккаунт Майкрософт для продления геймпасса.
- Завести знакомого адвоката или хотя бы юриста. В целом очень полезный по жизни совет.
- Почитать памятки, как вести себя при взаимодействии с госорганами. Речь не только о том, что вы можете сами себя оговорить, но и том, что под видом сотрудников разных органов наверняка будут действовать мошенники и шантажисты, уговаривающие уплатить штраф им лично, и важно сохранять трезвость рассуждений (спасибо за мысль пользователю ТРиДИВАНА).
- Подписаться на меня, чтобы быть в курсе касающихся нас поправок, практики их применения и моих попыток скоординировать геймерское сообщество для защиты наших интересов. То ли еще будет!