За продажу персональных данных будут сажать

В Рос­сии хо­тят ввес­ти уго­лов­ную от­ветс­твен­ность за про­дажу ук­ра­ден­ных пер­со­наль­ных дан­ных. Идет раз­ра­бот­ка соот­ветс­твую­ще­го за­коноп­роек­та, учас­тие в ко­торой при­нимает Рос­комнад­зор (РКН). Об этом в хо­де за­седа­ния Об­щес­твен­но­го со­вета при РКН зая­вил гла­ва ве­домс­тва Ан­дрей Ли­пов.

Заявленной темой данного заседания было регулирование деятельность блогеров с аудиторией в 100 тысяч и более подписчиков. Руководитель ведомства Андрей Липов в ходе мероприятия заявил о том, что Роскомнадзор принял участие в работе над законопроектом, который предусматривает в том числе уголовную ответственность для лиц, которые занимаются продажей скомпрометированных персональных данных (ПДн). Неделей раннее, 19 мая заместитель руководителя Роскомнадзора Милош Вагнер на заседании Госдумы заявил о том, что ведомство считает целесообразным введение уголовной ответственности за торговлю ПДн: "Основная трагедия этих утечек в том, что, как только данные появились в общем доступе и стали доступны неограниченному кругу лиц, предотвратить их распространение практически невозможно без жестких мер", - отметил он.

Глава комитета Госдумы по информационной политике Александр Хинштейн назвал данную инициативу вполне разумной. По его словам, необходимо усиление ответственности для тех, кто как продает, так и покупает скомпрометированные персональные данные, осознавая противоправный характер такого рода деяний. В интервью "Парламентской газете" Александр Хинштейн заявил о том, что разработка соответствующих нормативных актов практически завершена.

"Роскомнадзор предлагает проработать меры по увеличению ответственности, вплоть до введения уголовной, для тех, кто организует незаконный доступ к утекшим персональным данным. Нужно жестко наказывать тех, кто формирует спрос на утечки, наживаясь на распространении персональных данных. Только так можно прекратить вал мошенничества с личными данными российских граждан. Роскомнадзор примет активное участие в работе над поправками в закон "О персональных данных". Считаем важным и своевременным ужесточение ответственности за противоправные действия с персональными данными россиян", - так прокомментировали ComNews инициативы Роскомнадзора в пресс-службе ведомства.

"Инициатива уголовной ответственности за продажу персональных данных прорабатывается с заинтересованными госорганами. Инициатива позволит предотвратить незаконное распространение персональных данных. Также Минцифры выступает с инициативой введения оборотных штрафов для операторов персональных данных, которые допустили утечку данных. Размер штрафа может составить 1% от оборота компании", - такой ответ дала ComNews пресс-служба Министерства цифрового развития, связи и массовых коммуникаций.

По данным компании DLBI, количество инцидентов, связанных с продажей персональных данных, действительно неуклонно растет. "Ситуация с утечками данных ухудшается. Банки так и не могут выявить источники крупных утечек, операторы связи просто игнорируют проблему доступа к персональным данным абонентов. На все это влияет общее падение экономики, заставляющее низкооплачиваемых сотрудников искать незаконный доход, используя данные, к которым у них имеется доступ", - такой вывод был сделан ведущим телеграмм-канала "Утечки информации", принадлежащим компании DLBI, по результатам мониторинга инцидентов, связанных с продажей персональных данных в России. Как правило, данные приобретаются для так называемого "черного пробива" - предоставление информации по конкретному человеку или компании инсайдером, имеющим доступ к этим данным в силу своих служебных обязанностей. По оценкам автора телеграмм-канала "Утечки информации" Ашота Оганесяна, количество таких инцидентов удваивается каждый год.

Как показывает глобальный мониторинг утечек данных, который ведет компания InfoWatch, доля умышленных инцидентов составила по итогам 2021 года 82%. При этом на внешних нарушителей пришлось 63,2% утечек. По данным Group-IB, практически все инциденты, связанные с использованием вымогательского ПО, которые имели место в 2019 году и позже, сочетались с кражей данных, которые затем или продавались, или передавались в открытый доступ.

Основатель KIP LegalTech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций Павел Катков прокомментировал текущую ситуацию следующим образом: "Статья 13.11 КоАП РФ предусматривает ответственность за разные виды нарушений в этой области в очень широких границах - от 10 тысяч рублей до 18 млн рублей, в зависимости от субъекта и вида нарушения. Очевидно, регулятору это кажется недостаточным, раз он планирует инициировать поправки в УК РФ. Если они будут приняты, ответственность и риски возрастут. Но справится ли с новой нагрузкой правоохранительная система - это большой вопрос".

По данным мониторинга DLBI, тем не менее, значительную часть злоумышленников, чью деятельность пресекли правоохранительные органы, все же привлекают к ответственности. В последние два года все чаще для этого используется статья 274 ч.1 "Неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации". Также злоумышленникам вменяли такие статьи, как 272 ("Неправомерный доступ к компьютерной информации"), 138 ("Нарушение тайны переписки, телефонных переговоров"), 159 ("Мошенничество"), 183 ("Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну").

"Новый уголовный состав проектируют, если соответствующее деяние не охватывается уже существующими. Если сейчас к деянию применяют, например, статью 159 УК РФ "Мошенничество", то просто потому, что нет специального состава. Если он будет создан, будут применять его, - уверен Павел Катков. - Надо также понимать, что применение 272, 138, 183, 159, 274.1. УК РФ к торговле персональными данными это все-таки "натяжка", потому что ни одна из них напрямую не запрещает именно "торговлю" данными и не предусматривает за них ответственность. Полагаю, РКН хорошо запомнил противостояние с телеграм-каналом "Глаз бога", и в случае появления похожего кейса хочет встретить его во всеоружии".

Яков Шпунт

Опубликовал: Александр Абрамов (info@ict-online.ru)

Рубрики: Регулирование

Ключевые слова: регулирование, Роскомнадзор, персональные данные