Роскомнадзор предложил нажать на воров персональных данных. Эксперт 47news считает, что лучше штрафовать Yandex и Google и причем на миллиарды.
Недавно глава Роскомнадзора Андрей Липов предложил криминализовать действия тех, кто крадет и распространяет персональные данные. По его мнению, появление соответствующей статьи в Уголовном кодексе позволит сократить их нелегальный оборот.
Адвокат коллегии адвокатов Pen & Paper Виктор Рыков сомневается в полезности такой инициативы - он видит решение проблемы с другой стороны.
Оборот персональных данных в России регулируется законом № 152-ФЗ "О персональных данных" (он принят еще в 2006 году). Персональными данными закон называет любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. На передачу или распространение данных о ком-либо требуется наше согласие. Оно, например, не требуется при передаче их органам.
- По закону персональные данные - всё, что идентифицирует каждого из нас. Значит, государство защищает наши персональные данные?
- Я бы сказал, имитирует их защиту. Глазами юриста само понятие "персональные данные" там довольно размытое. Они - то, что само по себе идентифицирует человека, или то, что может его идентифицировать в принципе? Предположим, три знакомых работают в разных компаниях: сервисе такси, страховой и операторе сотовой связи. У одного может быть доступ к маршрутам следования неизвестного лица, у другого – к условиям страхования того же лица, у третьего – к идентификаторам его сим-карты и биллингам. Заранее неочевидно, позволят ли эти данные, даже объединенные, идентифицировать конкретное лицо. Но в случае утечки риск явно присутствует.
- Разве эти нюансы влияют на защиту?
- Дело в том, что закон определяет персональные данные широко, как информацию, относящуюся прямо или косвенно к определенному или определяемому лицу. Ключевое слово здесь "определяемое". Изолированная информация, доступная трем гипотетическим сотрудникам по отдельности, может и не идентифицировать конкретное лицо. Но после объединения возникают очевидные условия для нарушения прав субъекта персональных данных.
- Так Роскомнадзор же штрафует за такие нарушения.
Единственная норма российского права, предусматривающая ответственность за нарушения законодательства о персональных данных, - статья 13.11 Кодекса об административных правонарушениях. Она предусматривает штрафы от 2 000 до 6 000 рублей для физических лиц, от 10 000 до 20 000 для должностных и от 60 000 до 100 000 для юридических. Наказания за повторные нарушения в несколько раз выше, до 500 000.
- Хорошо, но их одних маловато.
- Истории о том, как некие базы данных сливаются в интернет и оказываются в открытом доступе - не редкость.
- А почему они должны быть редкостью? За плохую защиту персональных данных статья 13.11 предусматривает до 100 000 рублей штрафа - для любого агрегатора это смешная сумма. Думаю, наиболее частые причины сливов данных - человеческий фактор и неадекватная политика агрегаторов при сборе данных. Часто операторы собирают больше данных, чем нужно для исполнения договоров, и риск утечки лишних данных возрастает.
- Наверное, человек, обнаруживший свои персональные данные в интернете, может предъявить судебные претензии к не сумевшему сохранить их?
- В его распоряжении лишь один инструмент - 15 статья Гражданского кодекса, где написано про возмещение убытков. Вы приходите в суд и говорите: вот там-то в интернете опубликованы мои персональные данные, которые я предоставил когда-то такой-то компании. А тебе ответят - ну и что? Вам придется доказать суду, что в связи этим у вас возникли такие-то убытки и обосновать их размер. Как правило, ничего не получается. Судебная практика показывает, что такие споры сводятся к взысканию морального вреда - 30-40 000 рублей. Моральный вред проще доказывать - вам стали названивать с какими-то коммерческими предложениями, у вас нарушился сон, вы обратились к участковому терапевту. Принесли потом в суд справку из поликлиники.
- В масштабах Yandex и Google это даже не смешно.
- Ну да. Потому я и считаю, что прежде всего должна быть введена внятная система гражданских штрафов для тех, кто хранит наши персональные данные, использует, но не может защитить от несанкционированного доступа. Представьте, что сам факт появления одного вида персональных данных в отношении одного лица - например, номера вашего мобильного телефона - в свободном доступе наказывался бы штрафом в 100 000 рублей. Происходит слив клиентской базы какого-нибудь крупного агрегатора, и лица, обнаружившие себя в такой базе, предъявляют коллективный иск.
- Это уже миллиарды.
- Пару раз, а потом компании напрягутся. И не нужна никакая криминализация, которая лично мне представляется бесполезной с точки зрения защиты наших с вами интересов.
- Персональные данные используют многочисленные телефонные мошенники, которые вымогают у людей деньги. Это же в чистом виде уголовщина…
По данным Центробанка, в 2021 году телефонные мошенники украли у банковских клиентов путем денежных переводов 13,5 млрд руб. Кредитные организации сумели вернуть лишь 920,5 млн - менее 7%. Зампредседателя правления Сбербанка Станислав Кузнецов на сессии ПМЭФ 14 июня 2022 года сообщил, что в стране с начала года число случаев телефонного мошенничества выросло на 15–20%. Методы социальной инженерии, которыми пользуются мошенники, основаны в том числе на знании персональных данных потенциальных жертв.
Телефонные мошенники - это мошенники, для которых в Уголовном кодексе придумана 159 статья, наказывающая до 10 лет лишения свободы. Персональными данными они пользуются постольку, поскольку агрегаторы не способны качественно защитить эти данные. Как только агрегаторы поймут, что им выгоднее в эту защиту вложиться - телефонные мошенники потеряют важнейший из своих инструментов. Тут не хватает жестких норм: факт утечки доказан - тот, кто должен был такую утечку не допустить, оштрафован. Чтобы людям не приходилось бегать в суды, доказывать свои убытки и в конце концов уходить с 30-40 тысячами компенсации морального вреда.
- А что, мошенникам так важны персональные данные потенциальных жертв?
- Конечно, для них же главное - заставить людей поверить, что они те, за кого себя выдают. Значит, нужно сказать что-то, что, с точки зрения обывателя, не может знать посторонний. Фамилия, имя, отчество, дата рождения - отличный способ завязать разговор. "Петрова Марья Ивановна, 15 сентября 1952 года рождения? Беспокоит служба безопасности такого-то банка…" И Марья Ивановна соображает: она же действительно говорила эти данные, когда оформляла банковский вклад. И переводит жуликам свои накопления.
- Из-за действий телефонных мошенников люди теряют последнее. Почему не взыскать из с агрегаторов, не сумевших защитить персональные данные, которыми эти мошенники воспользовались?
- А как вы узнаете, откуда именно телефонные мошенники получили те ваши персональные данные, которыми сумели воспользоваться? И как вы докажете эти знания в суде?
1 марта произошла массовая утечка данных пользователей "Яндекс.Еды". В открытом доступе оказались имена клиентов, их телефоны, адреса и суммы заказов за полгода. 22 марта данные были сформированы в интерактивную карту. Роскомнадзор составил против "Яндекс.Еды" протокол о нарушении законодательства о персональных данных, также к сервису подали коллективный иск.
- Уголовный кодекс к защите персональных данных вообще не имеет сегодня отношения?
- Нет, эта тема пока не криминализировала.
- Новая статья, предусматривающая уголовную ответственность за утечку персональных данных, - это перебор?
- Она приведет людей в правоохранительные органы, которые начнут выявлять цепочку от того, кто хранил персональные данные заявителя легально, до того, кто, скажем, опубликовал их. Объясните пожалуйста, как от этого станет легче пострадавшему? Это неэффективно, потому что не устраняет источник проблемы - не заставляет легальных обладателей персональных данных вкладываться в их защиту.
Лев Годованник для 47news