Сливы дорожают: в СПЧ предлагают сажать за утечку личных данных
Наказание за утечку персональных данных надо значительно усилить, считают в Совете по правам человека при президенте России. Подготовку инициатив уже начали, в первых числах февраля их обсудят с законодателями, профильными ведомствами и бизнесом, выяснили "Известия".
Важно, чтобы помимо штрафов реальные участники похищений и перепродажи таких сведений получали реальные тюремные сроки, считают общественники. Уголовное наказание должно распространяться и на тех, кто допустил такую халатность, а также покупателей данных. Похищенные личные данные сейчас всё чаще используют не только для получения прибыли, но и для давления на людей и нагнетания паники, подчеркнули эксперты. Законодатели готовы прислушаться к предложениям СПЧ, заверили в Госдуме.
Взлом изнутри
В Совете по правам человека при президенте России (СПЧ) готовят предложения по усилению мер ответственности за утечку персональных данных, рассказал "Известиям" член совета Кирилл Кабанов. СПЧ, по его словам, будет отстаивать позицию, связанную с введением уголовной ответственностью за хищение и торговлю личными сведениями.
Сейчас меры ответственности за утечку персональных данных регулирует статья 13.11 КоАП РФ, рассказала "Известиям" член Ассоциации юристов России, управляющий партнер "Легес Бюро" Мария Спиридонова. При отсутствии признаков уголовно наказуемого деяния нарушителям грозит штраф: для физических лиц — до 4 тыс. рублей, для должностных лиц — до 20 тыс., для юридических лиц — до 100 тыс. В случае повторного нарушения санкции растут.
Однако, одних штрафов для решения проблемы недостаточно, считают опрошенные "Известиями" члены СПЧ. Эта ответственность затрагивает в основном юридических лиц, отметил член совета Игорь Ашманов.
— Воруют в основном инсайдеры, а не компании. Соответственно, нужно наказывать именно тех, кто украл и продает потом сведения. Кроме того, еще один аспект — это халатность. Нужно наказывать не только самих сотрудников, но и их начальство. Это уже статья Уголовного кодекса. Даже оборотными штрафами, если они будут введены, эти нарушения не исправить. Сисадмина или IT-директора, которые воруют и продают данные, обороты компании не касаются, — сказал он "Известиям".
Сейчас хакеры всё чаще используют персональные данные не для получения коммерческой выгоды, а практически для терроризма, обратил внимание Игорь Ашманов.
— Например, чтобы добраться до жен военнослужащих, до самих военнослужащих, сотрудников спецслужб и так далее. Посеять панику. С таким терроризмом экономическими методами бороться невозможно. Должны быть реальные сроки, — уверен он.
Случаи масштабных утечек персональных данных в 2022–2023 годах
Самой крупной в 2022 году стала утечка данных клиентов сервиса "Яндекс.Еда". Выложенная в публичный доступ база с адресами, телефонами и подробностями заказов охватывала всю территорию России. Сведения были перенесены на интерактивную карту, которая со временем пополнилась похищенными сведениями о клиентах других сервисов и организаций.
23 марта Роскомнадзор выписал "Яндекс.Еде" административный протокол и заблокировал сайт со слитыми данными. В начале августа Следственный комитет России возбудил уголовное дело по факту утечки.
3 мая 2022 года появилась информация о том, что в Сеть утекли данные 30 млн клиентов сети медицинских лабораторий "Гемотеста". 18 мая компания подтвердила факт утечки, не указав число пострадавших. В письме руководства "Гемотеста" говорилось о выявлении факта хакерской атаки и "несанкционированного доступа к информационному ресурсу".
Утечку информации о заказах пользователей обнаружила и служба безопасности сервиса доставки еды Delivery Club, сообщил 20 мая пресс-секретарь компании Алексей Белоусов. Он подчеркнул, что утекшие данные не включают банковские реквизиты. Delivery Club инициировала внутреннее расследование инцидента, а также сообщила о намерении провести дополнительный аудит внутренних систем.
29 июля в открытом доступе появилась информация об отправлениях "Почты России". В выложенном документе было порядка 4 млн телефонных номеров россиян. Всего он содержал порядка 10 млн строк с трек-номерами отправлений, ФИО или названием компании отправителя/получателя, телефоном получателя, городом отправителя/получателя, весом и статусом отправлений, датой и временем отправления. "Почта России" подтвердила частичную утечку. По данным оператора, хакеры атаковали подрядчика, из-за чего "фрагмент данных действительно попал в руки взломщиков".
Наибольшую активность хакеры проявляли в мае 2022 года, сообщали "Известия". В том месяце в даркнете появилось рекордное количество баз данных российских компаний — более 50. Для сравнения, в апреле их было 32, в марте — 16. Часть баз оказалась в свободном доступе. В том числе, помимо упомянутых выше, личные данные клиентов сервисов СДЭК, Wildberries, бизнес-школы "Сколково", образовательного центра GeekBrains и др. В 19 наиболее крупных утечках, по оценкам экспертов Group-IB, содержалось 616,6 млн строк информации.
В январе 2023 года утечку данных своих клиентов подтвердила сеть магазинов "Спортмастер". У злоумышленников оказались имена, даты рождения, номера телефонов и адреса электронных почт покупателей спортивных товаров. Компания проводит расследование и выясняет причины произошедшего.
Уголовная ответственность за утечку персональных данных должна быть сопоставима с нанесенным ущербом, полагает Кирилл Кабанов. Она может доходить до реальных сроков заключения в пять-шесть лет.
— В процессе хищения данных участвуют несколько субъектов. Первый — тот, кто похищает данные. Второй — кто допустил эту халатность. И третий — кто участвует в покупке и продаже информации. Каждый субъект должен получать соответствующее наказание, — отметил он.
Общественники планируют в начале февраля обсудить свои предложения с депутатами Госдумы, членами Совета Федерации, представителям Ростелекома, Минцифры и бизнеса.
— Прежде чем принимать меры, важно понять, как отреагируют на этот процесс все, кто в нем задействован. Мы готовим свою позицию, но она не является истиной в последней инстанции. С первых чисел февраля, я думаю, что мы начнем обсуждать существующие предложения, — пояснил Кирилл Кабанов.
Тайна частной жизни
Помимо штрафов, предусмотренных сейчас КоАП РФ, руководители компании, где произошел инцидент, могут понести дисциплинарную ответственность, отметила член Ассоциации юристов России Асия Мухамедшина.
— Статьями Трудового кодекса предусмотрен как выговор за нарушение при работе с персональными сведениями, так и увольнение работника за придание публичного статуса личной информации, — пояснила она.
Также, по ее словам, существует гражданско-правовая ответственность за утечку персональных данных — возмещение убытков за использование персональных сведений в корыстных целях при условии его установления законом или договором.
Также существует и уголовная ответственность за нарушение неприкосновенности частной жизни, к чему относят незаконное собирание или распространение сведений о персоне без ее согласия, добавил юрист Алексей Гавришев. Он напомнил, что такие действия наказываются штрафом в размере до 2 тыс. рублей или в размере заработной платы за 18 месяцев. Возможны также обязательные или исправительные работы, арест на четыре месяца или лишение свободы до двух лет.
Думский интерес
"Чрезвычайной" назвал существующую в России ситуацию с утечкой информации председатель комитета Госдумы по информационной политике, информационным технологиям и связи Александр Хинштейн. Он также уверен, что существующих мер по защите персональных данных недостаточно и необходимо усилить ответственность за их незаконный оборот. Он пообещал, что эта тема станет приоритетной для комитета и работа над соответствующим законопроектом будет ускорена.
Комитет активно прорабатывает совершенствование законодательства в сфере персональных данных, подтвердил "Известиям" его зампред Олег Матвейчев.
— Встает вопрос размеров нанесенного ущерба и ответственности за него, вплоть до уголовной. Этот вопрос требует как раз определенной дискуссии, — отметил он.
Законодатели готовы учесть мнение всех заинтересованных сторон, в том числе и общественников, заверил он.
Ранее президент России Владимир Путин по итогам декабрьской встречи с членами СПЧ поручил правительству до 1 июля 2023 года рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных.
В январе Минцифры сообщило, что соответствующий законопроект разработан. Штрафы могут составить до 3% от оборота организации, рассказал глава ведомства Максут Шадаев. По его словам, смягчающим обстоятельством для компаний станет возмещение ущерба большей части пострадавшим от утечки. Сумма штрафа также может быть уменьшена, если организация инвестирует средства в инфраструктуру для обеспечения безопасности.
Законопроект сейчас находится в проработке, рассматриваются все поступившие предложения, сообщили "Известиям" в Минцифры.
"Рассчитываем, что документ будет готов в установленные президентом сроки и его поддержат все участники обсуждения", — говорится в ответ ведомства на запрос издания.
Основная задача законопроекта об оборотных штрафах — побудить операторов персональных данных вкладываться в защиту информации и повысить сохранность информации, заверили там.