Недобросовестные операторы: как персональные данные попадают не туда и что с этим делать
30 июня 2024 г.
По сообщению Роскомнадзора, с начала 2024 года выявлено 19 фактов неправомерной передачи информации, включающей персональные данные (утечка персональных данных, утечка), в сеть попали более 510 млн записей. Вместе с тем за 2023 год Роскомнадзор зафиксировал 168 утечек персональных данных, при этом в сеть попали порядка 300 млн записей о россиянах, в 2022 году в сеть утекли 600 млн записей о россиянах, тогда ведомство зафиксировало более 140 утечек.
Значительной проблемой в сфере борьбы с утечкой персональных данных остаётся нежелание крупных компаний, являющихся операторами персональных данных, вкладывать средства в информационную безопасность, предпочитая уплату штрафа модернизации защитной инфраструктуры компаний.
Кроме того, сотрудники и руководители организаций, допустившие утечку, часто замалчивают информацию о её факте и предпринимают меры по самостоятельному устранению последствий инцидентов и локализации нанесённого ущерба, не обращаясь в правоохранительные органы. В связи с этим выявление и расследование преступлений, а также привлечение к ответственности виновных лиц, существенно затрудняется.
Проблема утечки персональных данных россиян создаёт новую проблему – сбор неправомерно переданных персональных данных для их последующей продажи.
В настоящий момент в России по-прежнему широко распространено создание и функционирование коммерческих интернет-ресурсов, предназначенных для сбора и накопления незаконно полученных персональных данных россиян и предоставления к ним доступа на платной основе неограниченному кругу лиц.
Так, одним из таких интернет-ресурсов является платформа «Глаз Бога» («Eye Of God»), предоставляющая по запросу в телеграм-боте (по информации самой платформы, более 1 млн активных пользователей) данные о конкретных гражданах, включающие сведения из более чем 20 баз данных (по информации платформы).
ГИБДД, ПФР, ФНС, Росстат, ЕГРЮЛ, ФМС, ФСПП, ФНП, ЕАИСТО, РСА, ЕФРСБ, Росфинмониторинг, Росреестр, Центр раскрытия корпоративной информации, Фокус СКБ, Вконтакте, Facebook (социальная сеть заблокирована в России, является продуктом признанной в России экстремистской компании Meta), Instagram (социальная сеть заблокирована в России, является продуктом признанной в России экстремистской компании Meta), Одноклассники, Skype, WhatsApp, Viber, Avito, Youla (Юла), Из рук в руки – Irr.ru, Avto.ru, Циан, Яндекс, Google, Telegram, Mail.ru, Headhunter, Rusprofile, TrueCaller, Twitter, MTS, Билайн, Мегафон, Тинькофф Мобайл, Tele2, ICQ, GetContact, Foursquare, GitHub, Drive2.ru, Автокод.
Хотя согласие на обработку персональных данных от конкретных россиян платформа не получала, вместе с тем она обрабатывает их и продолжает собирать и компоновать в цифровые профили. Владельцы телеграм-бота «Глаз Бога» утверждают, что сервис работает исключительно как поисковая система, все данные о россиянах берутся из открытых источников. Вместе с тем представляется, что сведения, которые можно получить при помощи телеграм-бота, например, данные документа, удостоверяющего личность, адреса мест проживания, места рождения и прочие, получить из источников, указанных на платформе, нельзя.
Согласно статье 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» решение о предоставлении персональных данных принимается субъектом персональных данных.
Решением Таганского районного суда города Москвы работа телеграм-бота «Глаз Бога» признана незаконной и нарушающей права граждан на неприкосновенность частной жизни, личную и семейную тайну. Распространение информации, полученной посредством телеграм-бота, признано незаконным, а телеграм-бот внесён в реестр нарушителей прав субъектов персональных данных и заблокирован. В то же время уже через неделю телеграм-бот был доступен по новому адресу и продолжил свою работу.
Решение Таганского районного суда города Москвы от 1 июля 2021 г. по делу № 02-2418/2021.
Законом установлено, что за незаконную обработку персональных данных сервису грозит штраф в размере от 60 тыс. до 100 тыс. руб., вместе с тем доход владельца телеграм-бота, по сведениям средств массовой информации, только в 2021 году составлял более 15 млн руб. в месяц.
Часть 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
Таким образом, ответственность за деятельность ресурсов, неправомерно собирающих и распространяющих персональные данные россиян, не соответствует современным вызовам, что ставит под сомнение эффективность действующих мер реагирования и способность адекватно противодействовать современным методам и тактикам мошенничества в области телекоммуникаций.
В этой связи представляется целесообразной поддержка принятия законопроектов об усилении ответственности для операторов персональных данных, допустивших их утечку. В частности, видится актуальной разработка и принятие законопроектов о внесении изменений в Кодекс Российской Федерации об административных правонарушениях, предусматривающих установление обязанности по уведомлению Роскомнадзора в случае утечки персональных данных и сокращение перечня исключений, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, а также увеличение административных штрафов для операторов, допустивших утечку персональных данных. В Уголовный кодекс Российской Федерации также предлагается внести изменения, которые предусматривают установление уголовной ответственности за обработку компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам её обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, а также за создание или обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения или распространения персональных данных.
Вместе с тем помимо ужесточения ответственности за утечку персональных данных представляется целесообразным рассмотреть возможность блокировки коммерческих интернет-ресурсов, предназначенных для обработки персональных данных и неспособных подтвердить законность их обработки, в кратчайший срок по решению Роскомнадзора.
Доступ к некоторой информации может быть ограничен во внесудебном порядке на основании решения уполномоченных Правительством федеральных органов исполнительной власти в соответствии с их компетенцией, установленной постановлением Правительства Российской Федерации от 26 октября 2012 г. № 1101 «О единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено». Между тем блокировка интернет-ресурсов, предназначенных для обработки персональных данных, неспособных подтвердить источник получения персональных данных и законность их обработки, в указанном постановлении не предусматривается.
Помимо этого, важным видится разработать механизм информирования физических лиц, персональные данные которых были похищены, об их возможном противоправном использовании. Данная мера будет превентивно воздействовать на дальнейшее распространение и использование похищенных данных и способствовать снижению рисков нарушений в этой области.
Значительной проблемой в сфере борьбы с утечкой персональных данных остаётся нежелание крупных компаний, являющихся операторами персональных данных, вкладывать средства в информационную безопасность, предпочитая уплату штрафа модернизации защитной инфраструктуры компаний.
Кроме того, сотрудники и руководители организаций, допустившие утечку, часто замалчивают информацию о её факте и предпринимают меры по самостоятельному устранению последствий инцидентов и локализации нанесённого ущерба, не обращаясь в правоохранительные органы. В связи с этим выявление и расследование преступлений, а также привлечение к ответственности виновных лиц, существенно затрудняется.
Проблема утечки персональных данных россиян создаёт новую проблему – сбор неправомерно переданных персональных данных для их последующей продажи.
В настоящий момент в России по-прежнему широко распространено создание и функционирование коммерческих интернет-ресурсов, предназначенных для сбора и накопления незаконно полученных персональных данных россиян и предоставления к ним доступа на платной основе неограниченному кругу лиц.
Так, одним из таких интернет-ресурсов является платформа «Глаз Бога» («Eye Of God»), предоставляющая по запросу в телеграм-боте (по информации самой платформы, более 1 млн активных пользователей) данные о конкретных гражданах, включающие сведения из более чем 20 баз данных (по информации платформы).
ГИБДД, ПФР, ФНС, Росстат, ЕГРЮЛ, ФМС, ФСПП, ФНП, ЕАИСТО, РСА, ЕФРСБ, Росфинмониторинг, Росреестр, Центр раскрытия корпоративной информации, Фокус СКБ, Вконтакте, Facebook (социальная сеть заблокирована в России, является продуктом признанной в России экстремистской компании Meta), Instagram (социальная сеть заблокирована в России, является продуктом признанной в России экстремистской компании Meta), Одноклассники, Skype, WhatsApp, Viber, Avito, Youla (Юла), Из рук в руки – Irr.ru, Avto.ru, Циан, Яндекс, Google, Telegram, Mail.ru, Headhunter, Rusprofile, TrueCaller, Twitter, MTS, Билайн, Мегафон, Тинькофф Мобайл, Tele2, ICQ, GetContact, Foursquare, GitHub, Drive2.ru, Автокод.
Хотя согласие на обработку персональных данных от конкретных россиян платформа не получала, вместе с тем она обрабатывает их и продолжает собирать и компоновать в цифровые профили. Владельцы телеграм-бота «Глаз Бога» утверждают, что сервис работает исключительно как поисковая система, все данные о россиянах берутся из открытых источников. Вместе с тем представляется, что сведения, которые можно получить при помощи телеграм-бота, например, данные документа, удостоверяющего личность, адреса мест проживания, места рождения и прочие, получить из источников, указанных на платформе, нельзя.
Согласно статье 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» решение о предоставлении персональных данных принимается субъектом персональных данных.
Решением Таганского районного суда города Москвы работа телеграм-бота «Глаз Бога» признана незаконной и нарушающей права граждан на неприкосновенность частной жизни, личную и семейную тайну. Распространение информации, полученной посредством телеграм-бота, признано незаконным, а телеграм-бот внесён в реестр нарушителей прав субъектов персональных данных и заблокирован. В то же время уже через неделю телеграм-бот был доступен по новому адресу и продолжил свою работу.
Решение Таганского районного суда города Москвы от 1 июля 2021 г. по делу № 02-2418/2021.
Законом установлено, что за незаконную обработку персональных данных сервису грозит штраф в размере от 60 тыс. до 100 тыс. руб., вместе с тем доход владельца телеграм-бота, по сведениям средств массовой информации, только в 2021 году составлял более 15 млн руб. в месяц.
Часть 1 статьи 13.11 Кодекса Российской Федерации об административных правонарушениях.
Таким образом, ответственность за деятельность ресурсов, неправомерно собирающих и распространяющих персональные данные россиян, не соответствует современным вызовам, что ставит под сомнение эффективность действующих мер реагирования и способность адекватно противодействовать современным методам и тактикам мошенничества в области телекоммуникаций.
В этой связи представляется целесообразной поддержка принятия законопроектов об усилении ответственности для операторов персональных данных, допустивших их утечку. В частности, видится актуальной разработка и принятие законопроектов о внесении изменений в Кодекс Российской Федерации об административных правонарушениях, предусматривающих установление обязанности по уведомлению Роскомнадзора в случае утечки персональных данных и сокращение перечня исключений, когда оператор вправе осуществлять обработку персональных данных без уведомления Роскомнадзора, а также увеличение административных штрафов для операторов, допустивших утечку персональных данных. В Уголовный кодекс Российской Федерации также предлагается внести изменения, которые предусматривают установление уголовной ответственности за обработку компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам её обработки, хранения или иного вмешательства в их функционирование либо иным незаконным путем, а также за создание или обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения или распространения персональных данных.
Вместе с тем помимо ужесточения ответственности за утечку персональных данных представляется целесообразным рассмотреть возможность блокировки коммерческих интернет-ресурсов, предназначенных для обработки персональных данных и неспособных подтвердить законность их обработки, в кратчайший срок по решению Роскомнадзора.
Доступ к некоторой информации может быть ограничен во внесудебном порядке на основании решения уполномоченных Правительством федеральных органов исполнительной власти в соответствии с их компетенцией, установленной постановлением Правительства Российской Федерации от 26 октября 2012 г. № 1101 «О единой автоматизированной информационной системе «Единый реестр доменных имен, указателей страниц сайтов в информационно-телекоммуникационной сети «Интернет» и сетевых адресов, позволяющих идентифицировать сайты в информационно-телекоммуникационной сети «Интернет», содержащие информацию, распространение которой в Российской Федерации запрещено». Между тем блокировка интернет-ресурсов, предназначенных для обработки персональных данных, неспособных подтвердить источник получения персональных данных и законность их обработки, в указанном постановлении не предусматривается.
Помимо этого, важным видится разработать механизм информирования физических лиц, персональные данные которых были похищены, об их возможном противоправном использовании. Данная мера будет превентивно воздействовать на дальнейшее распространение и использование похищенных данных и способствовать снижению рисков нарушений в этой области.