Утечки персональных данных: последствия и уроки

Данные, в том числе персональные сведения о гражданах, стали товаром на черном рынке информации. В последние годы количество случаев утечки таких данных является беспрецедентным.

Только в 2021 году произошли четыре громкие истории, в результате которых третьим лицам стало доступно 2,7 млн записей о гражданах. В 2022 году — более 140 утечек с примерно 600 млн записей, а за семь месяцев 2023 года РКН зарегистрировал свыше 150 аналогичных случаев.

Очевидно, что раскрытие такого количества конфиденциальной информации лишь подстегивает рост числа киберпреступлений в отношении тех граждан, чьи сведения попали в руки злоумышленников.

Закон предоставляет операторам персональных данных (ПД) право самим решать, как защищать личную информацию пользователей и клиентов. Но организации зачастую экономят на средствах безопасности при обработке и хранении данных.

Роскомнадзор со своей стороны дает лишь рекомендации в этой сфере, а не обязательные для исполнения правила или нормы.

На сегодняшний день фактически имеет место безнаказанность операторов персональных данных за слив сведений о миллионах граждан. Отсутствие ответственности влечет рост новых случаев утечки информации.

Очевидно, что меры, принимаемые государством, пока являются недостаточными для устранения случаев неправомерного доступа и распространения ПД. В результате таких инцидентов эти сведения попадают в руки злоумышленникам.

Поэтому масштабы утечек информации о гражданах без преувеличения угрожают национальной безопасности России.

В связи с ростом информационных инцидентов в Государственную думу внесен проект закона о введении оборотных штрафов для бизнеса за повторные утечки персональных данных. Законопроект был поддержан Правительством РФ.

В настоящее время оператор ПД может быть оштрафован на сумму до 300 000 руб. Поправки в КоАП РФ предполагают внесение изменений в ст. 13.11 в части увеличения санкции, а именно:

• если произошла утечка данных от 1000 до 10 000 субъектов ПД, штраф для юрлиц составит от 3 до 5 млн руб.;
• за утечку данных 10 000–100 000 субъектов ПД — от 5 до 10 млн руб.;
• более 100 000 граждан — от 10 до 15 млн руб.

За повторное нарушение, если пострадали не менее 1000 человек, штраф составит от 0,1 до 3% выручки за год, предшествующий нарушению, но не менее 15 и не более 500 млн руб.

За утечку биометрии будет назначаться штраф в размере от 15 до 20 млн руб. Если оператор ПД не сообщит в установленном порядке Роскомнадзору об инциденте и о результатах внутренней проверки, то будет наложен штраф в размере от 1 до 3 млн руб.

С предложенными мерами не согласились ни бизнес-сообщество, ни Минэкономразвития. По мнению депутата ГД РФ Александра Хинштейна, которое он озвучил на пленарной дискуссии «BIS Summit 2023», затягивать с принятием поправок нельзя.

«Количество утечек, увы, по-прежнему высоко», — подчеркнул народный избранник.

Стоит согласиться с мнением парламентария, поскольку искоренить проблему неправомерного использования персональных данных другими средствами пока невозможно.

Серьезная ответственность за утечку информации является правильным и нужным шагом, поскольку отсутствие сведений о гражданах, в том числе биометрии, в руках злоумышленников значительно снизит количество киберпреступлений в нашей стране, так как большинство из них, в том числе телефонное мошенничество, стали возможны благодаря утечкам в сеть ПД.

Помимо оборотных штрафов, от Минцифры поступила инициатива о введении компенсации пострадавшим, которая уже получила положительный отзыв в Правительстве РФ.

Необходимость установления серьезной ответственности за неконтролируемое распространение персональных данных была озвучена еще в декабре 2022 года членом СПЧ РФ, председателем «Национального Антикоррупционного Комитета» (НАК) — К.В. Кабановым на заседании СПЧ.

По его словам, за 2022 год произошло несколько крупных утечек сведений о клиентах различных цифровых платформ. В связи с этим представляется целесообразным установить более высокие оборотные штрафы, прежде всего для компаний, допустивших утечку. Это обеспечит защиту ПД и будет стимулировать бизнес к усилению безопасности.

В январе 2023 года по итогам заседания СПЧ РФ Президент России утвердил предложение Председателя НАК в перечне своих поручений на 2023 год.

Предлагаемый механизм получения компенсации выглядит следующим образом:

1. Оператор ПД в случае информационного инцидента сообщает пользователю об утечке его персональных данных.
2. После получения информации пользователь должен в течение 15 рабочих дней подать заявку на возмещение причиненного ущерба.
3. Компания в течение 20 рабочих дней после получения заявок рассчитывает объем денежной выплаты и направляет предложение пользователям.
4. Пользователь вправе принять предложение или отказаться от него в течение 20 рабочих дней.
5. Если более 80% пострадавших согласятся на компенсацию, то оператор ПД будет обязан ее выплатить в течение 5 рабочих дней.

Предполагается, что к компании, допустившей утечку, но возместившей нанесенный пользователям ущерб, будут применяться пониженные оборотные штрафы.

Правоохранительные органы для более эффективного противодействия последствиям подобных инцидентов смогут получать данные с электронных устройств до решения суда

Так, в Государственной думе рассматривается законопроект с поправками в ФЗ «Об оперативно-разыскной деятельности», в соответствии с которыми оперативные сотрудники будут осуществлять ОРМ в отношении электронных данных и их носителей. Им будет предоставлен удаленный доступ к сведениям из дата-центров, облачных хранилищ, от операторов связи и с устройств граждан до получения разрешения суда. Это должно ускорить разыскные мероприятия, но в то же время серьезно увеличит риски злоупотребления данным правом.

Представители крупнейших российских компаний выступили против таких изменений. Отрицательный отзыв на законопроект подготовила Ассоциация больших данных (входят компании «МегаФон», МТС, «Билайн», ВТБ, «Тинькофф», «Сбер», «Яндекс», фонд «Сколково» и другие).

По их мнению, инициатива будет нарушать нынешние протоколы защиты данных в технологических системах и различных дата-центрах. Также представители бизнеса полагают, что некоторые силовики смогут использовать полученную информацию для шантажа или продажи конкурентам.

С учетом факта регулярных утечек персональных данных в крупных компаниях и количества информационных инцидентов согласиться с мнением Ассоциации нельзя, поскольку рост киберпреступлений является угрозой национального масштаба и требует жестких и оперативных мер, в том числе со стороны правоохранительной системы.

Мнение бизнеса во многом отражает нежелание тратить серьезные средства для обеспечения информационной безопасности, ведь эти пробелы при доступе силовиков к базам будут сразу выявлены и преданы огласке, что грозит репутационными потерями и оттоком клиентов.

Подводя итоги, хочу отметить, что необходимость введения механизмов реального, а не декларативного обеспечения безопасности персональных данных давно назрела и востребована обществом. Количество утечек информации растет и угрожает безопасности наших граждан.

Со стороны государства видны попытки обеспечить информационную безопасность населения, но эти шаги являются поздней реакцией на уже произошедшие события, повлекшие за собой рост киберпреступности. Поэтому будем надеяться на скорейшее принятие новых нормативных актов, которые в значительной степени снизят случаи утечки данных и будут являться превентивной мерой от новых информационных инцидентов.

Автор: Баранов Игорь Павлович Адвокат, преподаватель АИС, ведущий эксперт по проверкам правоохранительными органами субъектов предпринимательской деятельности.