Систематические сливы баз с подробной информацией о гражданах — сканы и коды персональных документов, номера личных телефонов и прочие чувствительные сведения — становятся одной из центральных проблем эры цифровизации. Поднятый еще до Нового года вопрос о введении уголовной ответственности для лиц, участвующих в незаконном обороте ПД, сдвинулся с места.
«Сегодня стало известно, что концепция соответствующего законопроекта получила положительное заключение правительства РФ — а это значит, что уже совсем скоро он поступит на рассмотрение Государственной думы. Рассчитываю, что наказание, которое предусмотрели авторы документа, действительно окажется суровым — в ином случае буду настаивать на ужесточении ответственности. Уверен, что многие коллеги-депутаты меня в этом поддержат», — сообщил в своем канале соавтор законопроекта, замглавы комитета ГД по информационной политике Антон Горелкин.
Самого текста концепции в открытом доступе нет, однако в сообщении парламентарий указал, что поддерживает введение ответственности для трех категорий участников незаконного оборота ПД: непосредственных исполнителей хищения информации, тех, кто способствует утечкам, и лиц, продающих слитые базы в интернете.
«Поскольку сам законопроект пока не опубликован, то пока не ясно главное: кого и за какие именно действия будет предложено привлекать к ответственности. Важнее всего то, будут ли адекватно раскрыты в законопроекте понятия, которые пока на словах звучат как «оборот» и «украденные персональные данные», — объяснил в беседе с «Известиями» партнер адвокатского бюро «Юрлов и партнеры» Глеб Ситников.
По его словам, криминализация незаконного оборота ПД может оздоровить ситуацию с участившимися утечками данных.
— Логично, что чем выше риски привлечения к ответственности, тем больше операторы ПД будут уделять внимание соблюдению всех норм. Однако те, кто предлагает ужесточение ответственности, в большинстве случаев хотят направить его против больших игроков, у которых есть и ресурсы, и действительно большая социальная ответственность за обработку ПД. Вопросы вызывает то, насколько готовы к огромным затратам времени и денег на соблюдение всех требований небольшие и не технологические компании и предприниматели и насколько они заслуживают ужесточения ответственности при несоразмерной сложности и запутанности норм о ПД.
Незаконный оборот персональных данных — болезненная тема, но эта инициатива вызывает опасения, что под раздачу могут попасть и ни в чем не виноватые люди, считает исполнительный директор российской IT-компании HFLabs Константин Степанов.
— Что значит способствовать утечкам? Кто и как будет определять степень способствования? На мой взгляд, наказание за незаконный оборот данных всё-таки должно зависеть от последствий, к которому он привел. Если данные человека «пробили», а потом на их основе совершили ограбление — это одно. А если ему теперь чаще звонят с ненужной рекламой — это другое. Но проследить все эти цепочки последствий крайне сложно, — считает он.
Если из компании утекли данные, можно установить того, кто этому прямо или косвенно поспособствовал, но меры воздействия в любом случае должны зависеть от того, был это злонамеренный шаг или нет, говорит Степанов.
— Уголовное наказание за «пробив» (незаконное наведение справок о человеке с помощью похищенных баз. — «Известия»), к слову, есть и сейчас. На нем регулярно попадаются, например, сотрудники салонов связи. Что касается оборота данных в Даркнете, то найти людей, которые стоят за их продажей, будет сложно. Скорей всего, многие из них находятся не в России, — предполагает эксперт.
Регулярные утечки данных клиентов от частных компаний играют на руку киберпреступникам, стремящимся завладеть средствами россиян. Но и агрессивное навязывание услуг давно стало проблемой в стране. Однако депутатская инициатива серьезно не повлияет на рынок рекламного спама, считает Константин Степанов.
— Во-первых, в открытом доступе — спасибо уже случившимся утечкам — достаточно информации о россиянах. Во-вторых, сами люди часто бездумно оставляют свои данные компаниям и, не читая документ, ставят галочки в согласиях на обработку данных. Они не обращают внимания, кому и на какой срок могут быть переданы их данные, — добавляет он.
По мнению эксперта, важно не только придумывать наказания, но и повышать культуру работы с персональными данными.
— Если сотрудник компании знает, что его действия контролируются и возможен штраф или увольнение за нарушение, он задумается, стоит ли ему передавать кому-то чужие данные. Многие компании уже ведут учет доступа к персональным данным клиентов через специальные программы. Они позволяют видеть и историю поисковых запросов, и то, сколько карточек клиентов открывал тот или иной специалист, — дополнил специалист.
Поддержка инициативы российских парламентариев правительством РФ совпала с предложением члена СПЧ Кирилла Кабанова включить в качестве основания для замены паспорта утечку персональных данных.
«Гражданин должен получить право в случае подобной ситуации (утечки) по желанию заменить свой паспорт с целью предотвращения рисков мошеннических действий», — сообщил Кабанов в своем телеграм-канале.
В начале февраля компания Group-IB сообщила, что в 2022 году число уникальных утечек в России увеличилось в пять раз (с 61 базы до 311). Архивы данных были опубликованы на закрытых форумах (241 слив) и в телеграм-каналах (70). Речь в общей сложности идет о 1,4 млрд строк с данными. Вырос и объем сливов — в 2021 году общее число строк с информацией составляло всего 33 млн. Наиболее актуальными слитыми данными стали телефонные номера граждан, их адреса и даты рождения, а также пароли от личных кабинетов и паспортные данные.
Еще один инструмент сдерживания нелегального распространения персональной информации о гражданах — оборотные штрафы для скомпрометировавших себя компаний — может заработать в обозримой перспективе. Депутат Госдумы Горелкин отметил, что обсуждение соответствующего законопроекта находится на завершающей стадии. «Как я понимаю, этот вопрос проходит через кабинет министров сложнее — но уже близок к финальной стадии», — сообщил он в своем телеграм-канале.
Иван Петров