Примут за данные: утечки персональных сведений криминализируют
Правительство одобрило концепцию законопроекта, предусматривающего уголовную ответственность за незаконный оборот краденых персональных данных (ПД), сообщил соавтор документа, депутат Госдумы Антон Горелкин. Документ призван ужесточить наказание за противоправные действия с использованием незаконно добытой информации. Мнения экспертов о возможной криминализации сливов баз с конфиденциальной информацией — в материале «Известий».
Заслуживает упоминания в кодексе
Систематические сливы баз с подробной информацией о гражданах — сканы и коды персональных документов, номера личных телефонов и прочие чувствительные сведения — становятся одной из центральных проблем эры цифровизации. Поднятый еще до Нового года вопрос о введении уголовной ответственности для лиц, участвующих в незаконном обороте ПД, сдвинулся с места.
«Сегодня стало известно, что концепция соответствующего законопроекта получила положительное заключение правительства РФ — а это значит, что уже совсем скоро он поступит на рассмотрение Государственной думы. Рассчитываю, что наказание, которое предусмотрели авторы документа, действительно окажется суровым — в ином случае буду настаивать на ужесточении ответственности. Уверен, что многие коллеги-депутаты меня в этом поддержат», — сообщил в своем канале соавтор законопроекта, замглавы комитета ГД по информационной политике Антон Горелкин.
Самого текста концепции в открытом доступе нет, однако в сообщении парламентарий указал, что поддерживает введение ответственности для трех категорий участников незаконного оборота ПД: непосредственных исполнителей хищения информации, тех, кто способствует утечкам, и лиц, продающих слитые базы в интернете.
Вопрос к формулировкам
«Поскольку сам законопроект пока не опубликован, то пока не ясно главное: кого и за какие именно действия будет предложено привлекать к ответственности. Важнее всего то, будут ли адекватно раскрыты в законопроекте понятия, которые пока на словах звучат как «оборот» и «украденные персональные данные», — объяснил в беседе с «Известиями» партнер адвокатского бюро «Юрлов и партнеры» Глеб Ситников.
По его словам, криминализация незаконного оборота ПД может оздоровить ситуацию с участившимися утечками данных.
— Логично, что чем выше риски привлечения к ответственности, тем больше операторы ПД будут уделять внимание соблюдению всех норм. Однако те, кто предлагает ужесточение ответственности, в большинстве случаев хотят направить его против больших игроков, у которых есть и ресурсы, и действительно большая социальная ответственность за обработку ПД. Вопросы вызывает то, насколько готовы к огромным затратам времени и денег на соблюдение всех требований небольшие и не технологические компании и предприниматели и насколько они заслуживают ужесточения ответственности при несоразмерной сложности и запутанности норм о ПД.
Незаконный оборот персональных данных — болезненная тема, но эта инициатива вызывает опасения, что под раздачу могут попасть и ни в чем не виноватые люди, считает исполнительный директор российской IT-компании HFLabs Константин Степанов.
— Что значит способствовать утечкам? Кто и как будет определять степень способствования? На мой взгляд, наказание за незаконный оборот данных всё-таки должно зависеть от последствий, к которому он привел. Если данные человека «пробили», а потом на их основе совершили ограбление — это одно. А если ему теперь чаще звонят с ненужной рекламой — это другое. Но проследить все эти цепочки последствий крайне сложно, — считает он.
Если из компании утекли данные, можно установить того, кто этому прямо или косвенно поспособствовал, но меры воздействия в любом случае должны зависеть от того, был это злонамеренный шаг или нет, говорит Степанов.
— Уголовное наказание за «пробив» (незаконное наведение справок о человеке с помощью похищенных баз. — «Известия»), к слову, есть и сейчас. На нем регулярно попадаются, например, сотрудники салонов связи. Что касается оборота данных в Даркнете, то найти людей, которые стоят за их продажей, будет сложно. Скорей всего, многие из них находятся не в России, — предполагает эксперт.
Спамеры вне охвата
Регулярные утечки данных клиентов от частных компаний играют на руку киберпреступникам, стремящимся завладеть средствами россиян. Но и агрессивное навязывание услуг давно стало проблемой в стране. Однако депутатская инициатива серьезно не повлияет на рынок рекламного спама, считает Константин Степанов.
— Во-первых, в открытом доступе — спасибо уже случившимся утечкам — достаточно информации о россиянах. Во-вторых, сами люди часто бездумно оставляют свои данные компаниям и, не читая документ, ставят галочки в согласиях на обработку данных. Они не обращают внимания, кому и на какой срок могут быть переданы их данные, — добавляет он.
По мнению эксперта, важно не только придумывать наказания, но и повышать культуру работы с персональными данными.
— Если сотрудник компании знает, что его действия контролируются и возможен штраф или увольнение за нарушение, он задумается, стоит ли ему передавать кому-то чужие данные. Многие компании уже ведут учет доступа к персональным данным клиентов через специальные программы. Они позволяют видеть и историю поисковых запросов, и то, сколько карточек клиентов открывал тот или иной специалист, — дополнил специалист.
Растущая угроза
Поддержка инициативы российских парламентариев правительством РФ совпала с предложением члена СПЧ Кирилла Кабанова включить в качестве основания для замены паспорта утечку персональных данных.
«Гражданин должен получить право в случае подобной ситуации (утечки) по желанию заменить свой паспорт с целью предотвращения рисков мошеннических действий», — сообщил Кабанов в своем телеграм-канале.
В начале февраля компания Group-IB сообщила, что в 2022 году число уникальных утечек в России увеличилось в пять раз (с 61 базы до 311). Архивы данных были опубликованы на закрытых форумах (241 слив) и в телеграм-каналах (70). Речь в общей сложности идет о 1,4 млрд строк с данными. Вырос и объем сливов — в 2021 году общее число строк с информацией составляло всего 33 млн. Наиболее актуальными слитыми данными стали телефонные номера граждан, их адреса и даты рождения, а также пароли от личных кабинетов и паспортные данные.
Еще один инструмент сдерживания нелегального распространения персональной информации о гражданах — оборотные штрафы для скомпрометировавших себя компаний — может заработать в обозримой перспективе. Депутат Госдумы Горелкин отметил, что обсуждение соответствующего законопроекта находится на завершающей стадии. «Как я понимаю, этот вопрос проходит через кабинет министров сложнее — но уже близок к финальной стадии», — сообщил он в своем телеграм-канале.
