Утечка персональных данных

Госдума готовит уголовное наказание для похитителей баз, продавцов и пособников

Правительство одобрило концепцию законопроекта, предусматривающего уголовную ответственность за незаконный оборот краденых персональных данных (ПД),сообщил соавтор документа, депутат Госдумы Антон Горелкин. Документ призван ужесточить наказание за противоправные действия с использованием незаконно добытой информации. Мнения экспертов о возможной криминализации сливов баз с конфиденциальной информацией — в материале «Известий».

Заслуживает упоминания в кодексе

Систематические сливы баз с подробной информацией о гражданах — сканы и коды персональных документов, номера личных телефонов и прочие чувствительные сведения — становятся одной из центральных проблем эры цифровизации. Поднятый еще до Нового года вопрос о введении уголовной ответственности для лиц, участвующих в незаконном обороте ПД, сдвинулся с места.

«Сегодня стало известно, что концепция соответствующего законопроекта получила положительное заключение правительства РФ — а это значит, что уже совсем скоро он поступит на рассмотрение Государственной думы. Рассчитываю, что наказание, которое предусмотрели авторы документа, действительно окажется суровым — в ином случае буду настаивать на ужесточении ответственности. Уверен, что многие коллеги-депутаты меня в этом поддержат», — сообщил в своем канале соавтор законопроекта, замглавы комитета ГД по информационной политике Антон Горелкин.

Самого текста концепции в открытом доступе нет, однако в сообщении парламентарий указал, что поддерживает введение ответственности для трех категорий участников незаконного оборота ПД: непосредственных исполнителей хищения информации, тех, кто способствует утечкам, и лиц, продающих слитые базы в интернете.

Вопрос к формулировкам

«Поскольку сам законопроект пока не опубликован, то пока не ясно главное: кого и за какие именно действия будет предложено привлекать к ответственности. Важнее всего то, будут ли адекватно раскрыты в законопроекте понятия, которые пока на словах звучат как «оборот» и «украденные персональные данные», — объяснил в беседе с «Известиями» партнер адвокатского бюро «Юрлов и партнеры» Глеб Ситников.

По его словам, криминализация незаконного оборота ПД может оздоровить ситуацию с участившимися утечками данных.

— Логично, что чем выше риски привлечения к ответственности, тем больше операторы ПД будут уделять внимание соблюдению всех норм. Однако те, кто предлагает ужесточение ответственности, в большинстве случаев хотят направить его против больших игроков, у которых есть и ресурсы, и действительно большая социальная ответственность за обработку ПД. Вопросы вызывает то, насколько готовы к огромным затратам времени и денег на соблюдение всех требований небольшие и не технологические компании и предприниматели и насколько они заслуживают ужесточения ответственности при несоразмерной сложности и запутанности норм о ПД.

Незаконный оборот персональных данных — болезненная тема, но эта инициатива вызывает опасения, что под раздачу могут попасть и ни в чем не виноватые люди, считает исполнительный директор российской IT-компании HFLabs Константин Степанов.

— Что значит способствовать утечкам? Кто и как будет определять степень способствования? На мой взгляд, наказание за незаконный оборот данных всё-таки должно зависеть от последствий, к которому он привел. Если данные человека «пробили», а потом на их основе совершили ограбление — это одно. А если ему теперь чаще звонят с ненужной рекламой — это другое. Но проследить все эти цепочки последствий крайне сложно, — считает он.

Если из компании утекли данные, можно установить того, кто этому прямо или косвенно поспособствовал, но меры воздействия в любом случае должны зависеть от того, был это злонамеренный шаг или нет, говорит Степанов.

— Уголовное наказание за «пробив» (незаконное наведение справок о человеке с помощью похищенных баз. — «Известия»), к слову, есть и сейчас. На нем регулярно попадаются, например, сотрудники салонов связи. Что касается оборота данных в Даркнете, то найти людей, которые стоят за их продажей, будет сложно. Скорей всего, многие из них находятся не в России, — предполагает эксперт.

Спамеры вне охвата

Регулярные утечки данных клиентов от частных компаний играют на руку киберпреступникам, стремящимся завладеть средствами россиян. Но и агрессивное навязывание услуг давно стало проблемой в стране. Однако депутатская инициатива серьезно не повлияет на рынок рекламного спама, считает Константин Степанов.

— Во-первых, в открытом доступе — спасибо уже случившимся утечкам — достаточно информации о россиянах. Во-вторых, сами люди часто бездумно оставляют свои данные компаниям и, не читая документ, ставят галочки в согласиях на обработку данных. Они не обращают внимания, кому и на какой срок могут быть переданы их данные, — добавляет он.

По мнению эксперта, важно не только придумывать наказания, но и повышать культуру работы с персональными данными.

— Если сотрудник компании знает, что его действия контролируются и возможен штраф или увольнение за нарушение, он задумается, стоит ли ему передавать кому-то чужие данные. Многие компании уже ведут учет доступа к персональным данным клиентов через специальные программы. Они позволяют видеть и историю поисковых запросов, и то, сколько карточек клиентов открывал тот или иной специалист, — дополнил специалист.

Растущая угроза

Поддержка инициативы российских парламентариев правительством РФ совпала с предложением члена СПЧ Кирилла Кабанова включить в качестве основания для замены паспорта утечку персональных данных.

«Гражданин должен получить право в случае подобной ситуации (утечки) по желанию заменить свой паспорт с целью предотвращения рисков мошеннических действий», — сообщил Кабанов в своем телеграм-канале.

В начале февраля компания Group-IB сообщила, что в 2022 году число уникальных утечек в России увеличилось в пять раз (с 61 базы до 311). Архивы данных были опубликованы на закрытых форумах (241 слив) и в телеграм-каналах (70). Речь в общей сложности идет о 1,4 млрд строк с данными. Вырос и объем сливов — в 2021 году общее число строк с информацией составляло всего 33 млн. Наиболее актуальными слитыми данными стали телефонные номера граждан, их адреса и даты рождения, а также пароли от личных кабинетов и паспортные данные.

Еще один инструмент сдерживания нелегального распространения персональной информации о гражданах — оборотные штрафы для скомпрометировавших себя компаний — может заработать в обозримой перспективе. Депутат Госдумы Горелкин отметил, что обсуждение соответствующего законопроекта находится на завершающей стадии. «Как я понимаю, этот вопрос проходит через кабинет министров сложнее — но уже близок к финальной стадии», — сообщил он в своем телеграм-канале.

Иван Петров, Известия