Украл, слил – в тюрьму?

Какое наказание нужно противопоставить преступлениям с персональными данными

Все, что мы рассказываем о себе в интернете, может быть использовано против нас. Неприятным доказательством этого тезиса стал резкий рост количества утечек персональных данных (ПД) в Сети и их использование злоумышленниками. Почему государству нельзя оставаться в стороне от этой проблемы и какой должна быть ответственность за утечки ПД – в материале RSpectr.

НЕЧИСТЫМ НА РУКУ

По данным Роскомнадзора, с января нынешнего года в России произошло около 60 крупных утечек персональных данных. В открытый доступ попали более 230 млн записей с личной информацией граждан.

Ранее аналитики Group-IB Threat Intelligence сообщали о рекордном количестве утечек, произошедших в РФ в нынешнем году. По их подсчетам, количество оказавшихся в публичном пространстве баз данных отечественных компаний и популярных сервисов летом 2022 года выросло вдвое по сравнению с весной. Общий объем утраченной информации этим летом составил 304 млн строк.

В исследовании HFLabs приводятся не менее угрожающие цифры: с января по июнь 2022 года количество незаконно обнародованных ПД жителей РФ выросло в восемь раз по сравнению с аналогичным периодом прошлого года. За полгода в Сеть попали 167 млн строк с личной информацией.

Массовые утечки персональной информации приводят к созданию незаконных «цифровых портретов» россиян. Они используются злоумышленниками для дискредитации личности, шантажа, мошенничества, травли в Сети и вовлечения в противоправные действия, пояснил RSpectr заместитель главы Роскомнадзора (РКН) Милош Вагнер.

Представитель РКН считает, что, помимо новых требований по обработке ПД, которые установлены принятым в июле законом №266-ФЗ, необходимо повысить ответственность за случаи незаконного использования личных сведений граждан.

Он подчеркивает, что

необходима криминализация действий, включая не только тех, кто крадет, но и тех, кто продает персональные данные, если их умысел очевиден

Милош Вагнер, Роскомнадзор:

– Незаконными являются действия тех людей, которые используют украденную информацию, не имея подтверждения ее законного происхождения и права использования. Необходима соответствующая ответственность за подобные деяния.

Размер штрафа должен зависеть от того, направил ли оператор уведомление об обработке данных, сообщил ли своевременно об инциденте, а также того, как он отвечал на жалобы и претензии своих пользователей и какие меры принял для снижения ущерба пострадавшим, считают в Роскомнадзоре.

Законопроект о том, что размер штрафа должен зависеть от выручки компаний, уже разрабатывается ведомствами, напомнили в РКН.

БУДЕТ ИСПОЛЬЗОВАНО ПРОТИВ ВАС

Угроза создания досье из утекших в Сеть персональных данных и их дальнейшего использования в ущерб гражданам действительно высока, подтвердили опрошенные RSpectr эксперты.

Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев перечислил RSpectr основные риски нелегальных цифровых портретов:

• социальная инженерия – чем полнее сведения о человеке у мошенника, тем легче ему втереться в доверие;
• шантаж и финансовое мошенничество;
• доступ к личным аккаунтам;
• спам от недобросовестных рекламодателей.

Он подчеркнул, что

опасность возрастает, если в «цифровые портреты» будет добавляться биометрическая информация

Алексей Парфентьев, «СёрчИнформ»:

– С популяризацией биометрии возрастает реальная угроза не просто использования данных, но подмены личности: от аудио- и видеодипфейков, которые могут использоваться для дискредитации, до кражи критичных активов, когда для подтверждения доступа к сервисам нужна соответствующая аутентификация.

Ситуация осложняется тем, что любые персональные записи (номер телефона, номер паспорта, даже ФИО) при желании можно переделать, а вот украденные биометрические характеристики человека, если они хранились в открытом виде, остаются неизменными, подчеркнул Алексей Парфентьев.

На этом фоне каждый человек как субъект ПД должен понимать, какую информацию он размещает о себе в интернете и каких последствий стоит ожидать, отметил управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников и напомнил

цифровое «правило Миранды»: все, что вы указали о себе в Сети (соцсети, блоге, форуме, чате, общедоступном сервисе), будет храниться там вечно и всегда может быть использовано против вас

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– В складывающейся ситуации органы власти должны защищать права гражданина. Ведь те же заказчики пиццы не хотели для себя ничего плохого, но из-за утечки их личная информация оказывается у злоумышленников.

Государству нужно доводить до всех людей – от детей до пенсионеров – информацию об опасности предоставления, распространения и хранения большого количества данных, подчеркнул он.

АДЕКВАТНО ВИНЕ

Исходя из устоявшейся практики КоАП, универсальной административной мерой наказания за утечки является штраф, рассказал RSpectr основатель KIP LegalTech, член Ассоциации юристов России Павел Катков. Для физических лиц его размер, как правило, ниже, чем для юридических, пояснил он.

Павел Катков, Ассоциация юристов России:

– Теоретически можно рассматривать и другие меры. Например, дисквалификацию или ее аналог в виде временного ограничения работы с ПД. Думаю, что и регулятору, и законодателю проще начать со штрафов.

По словам Алексея Парфентьева, наказание для юридических и физических лиц за утечку ПД сейчас действительно очень разное, но общая черта одна – суммы штрафов пока до смешного малы. Введение оборотных штрафов поможет изменить ситуацию, но это актуально только для компаний. Для повышения ответственности людей нужен принципиально другой подход. Он полагает, что

полезен будет запрет для физических лиц хранить и обрабатывать большие массивы или отдельные категории ПД

Алексей Парфентьев, «СёрчИнформ»:

– В этом случае ответственность наступала бы не за инцидент, а за факт такой обработки. Более того, физлицам необходимы инструменты и платформы, позволяющие избежать такой обработки. Например, возможность ограниченного доступа к отдельным данным с согласия владельца без непосредственного хранения. Это реализуемо, если сведения будут сохраняться в защищенном контуре у третьей стороны.

Такой подход используется во многих странах и довольно неплохо себя зарекомендовал. Алексей Парфентьев подчеркнул, что

подобные ограничения оправданны, ведь если оператор не в силах обеспечить безопасное хранение столь чувствительной информации, ему в принципе не стоит за это браться

При этом введение уголовной ответственности за факт утечки представляется эксперту чрезмерным. Он обратил внимание, что зафиксировано множество случаев, когда человек виновен лишь в собственной некомпетентности.

Алексей Парфентьев, «СёрчИнформ»:

– Уголовная ответственность должна наступать только при очевидной причастности к утечке и злом умысле – например, при «пробиве» информации для продажи. Такой факт можно расценивать как мошенничество в составе группы лиц – при доказанном финансовом вреде в особо крупном размере наказание и сейчас довольно сурово.

Физические лица по подобным инцидентам в России наказываются редко, рассказал Михаил Емельянников и напомнил одно из нашумевших дел – утечку данных клиентов из Сбербанка в 2019 году. В целом меры наказания для людей, допустивших утечки, существуют, подтвердил он. По его словам, они предусмотрены в рамках:

• Статьи 272 Уголовного кодекса «Неправомерный доступ к компьютерной информации», нарушение наказывается штрафом объемом до 18 месячных доходов и лишением свободы до двух лет. При крупном ущербе (свыше 1 млн рублей) срок наказания возрастает до четырех лет.
• Статьи 274 УК «Нарушение правил эксплуатации средств хранения и передачи компьютерной информации и информационно-телекоммуникационных сетей» – здесь возможен штраф или лишение свободы до двух лет.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Когда дела возбуждает ФСБ, в судах проходит такое нарушение, как неправомерное воздействие на критическую информационную инфраструктуру (КИИ). Например, за «пробивку» телефонных звонков или копирование информации наказываются работники салонов связи, ведь это объект КИИ.

Если человек осознанно крадет или помогает воровать данные, ответственность в зависимости от роли и последствий должна лежать в сфере уголовного или административного права, считает старший партнер адвокатского бюро «Титов, Кузьмин и партнеры» Андрей Кузьмин. Более того, за такие действия должна формироваться практика взыскания убытков в гражданско-правовом порядке, пояснил он RSpectr. Компания должна иметь возможность взыскать убытки, которые она получила от такой утечки. Виновники должны понимать, что будут лично отвечать рублем.

Автор: Тимур Халудоров