Почему ведомство хочет ужесточить ответственность за приобретение персональной информации

Роскомнадзор предложил наказывать не только продавцов, но и покупателей персональных данных. Их должны штрафовать, убежден глава ведомства Александр Жаров. Роскомнадзор готовит пакет предложений — его планируют внести в парламент в следующем году. Об этом Александр Жаров рассказал журналистам.

«Мы считаем, что поскольку утечки персональных данных являются серьезной мировой проблемой, то виноват не только тот, кто украл и продает данные, но и тот, кто сознательно приобретает и использует их, не имея на это права. Наше ведомство намерено подготовить поправки, и я думаю, что к весенней сессии вынесем их на общественное обсуждение. Мы надеемся на активное обсуждение как со стороны граждан, так и со стороны бизнеса, поскольку тема достаточно актуальная. Это первый анонс поправок, поэтому будем считать, что сегодняшний день — начало такого обсуждения»,— говорит Жаров.

Так стоит ли наказывать покупателей персональных данных? И как это сделать? На эти вопросы ответил советник практики информационных технологий компании «Томашевская и партнеры» Роман Янковский: «Наказывать не только продавцов, но и покупателей — это справедливо, потому что здесь вопрос не только в том, кто допустил утечку персональных данных, но и в том, какие реально меры Роскомнадзор может к ним применить. Если мы будем наказывать только тех, кто действительно допустил утечку, то получается, что распространители в Telegram-каналах, на форумах, в даркнете будут не виновны.

Есть риск, что под удар могут попасть как раз те покупатели, которые будут эту информацию использовать для расследований, а реальный продавец уйдет от ответственности.

Это заявление от Роскомнадзора в принципе соответствует мировой практике. Другое дело, что за рубежом, где есть ответственность за покупку персональных данных, отдельно указано, что информацию можно приобретать, например, в целях проведения журналистских расследований. Самая простая тактика — это либо размещать подставные объявления, чтобы найти покупателей вместо того, чтобы бороться с продавцами, или наказывать посредников, которые размещают ссылки на эти утекшие данные. На самом деле технологически у нас уже есть несколько способов, как вычислить анонимные Telegram-каналы. Интернет сейчас в России регулируется гораздо жестче, чем несколько лет назад: есть данные о провайдерах, о правоохранительных органах».

Ранее в Госдуме выступили с идеей ужесточить ответственность за кражу персональных данных клиентов банков. Депутаты предлагают сажать в тюрьму за это на пять лет. Кроме того, они хотят наказывать и сами компании, которые допустили утечку данных. За это им будет грозить крупный штраф. А если в результате утечки пострадают клиенты, то организациям придется компенсировать потери. Директор по продажам и развитию бизнеса компании «КриптоПро» Павел Луцик считает, что нести ответственность должны и сами покупатели этих данных. Хотя вычислить их не так и просто. К тому же не всегда эта информация может использоваться в преступных целях. «Информация будет передаваться на флешке, жестком диске или CD, и органам следствия будет сложно доказать вину человека, который приобрел такие хранители. Кроме того, человек может купить, положить на стол к своему коллеге, и как доказать, кто в итоге приобрел?

Чем больше анонимайзеров, VPN-решений встречается на пути, тем сложнее органам следствия выявить конечного покупателя.

Сценарий может быть следующим: сначала поймают продавца, и уже дальше по цепочке будут выявляться те люди, которые приобретали базу. Злой умысел зависит от того, какая информация продается и покупается. Если это какая-то база клиентов банка, то, да, здесь, скорее всего, можно позвонить, представиться сотрудником службы безопасности кредитной организации и попросить параметры карты клиента. Если это база данных автовладельцев, то тут можно использовать страховую компанию для того, чтобы предложить свои услуги и так далее»,— говорит Луцик.

Несколько громких утечек персональных данных недавно произошли в Сбербанке. Как сообщал “Ъ”, на теневом рынке оказалась база с информацией о 60 млн клиентов. Сам Сбербанк утверждал, что утечка коснулась лишь 2 тыс. держателей карт, а продавцом оказался сотрудник организации. Вторая крупная утечка, о которой стало известно в конце октября, по данным “Ъ”, касалась базы данных о заемщиках на 1 млн строк. Ее источник полиция раскрыла довольно быстро: в распространении персональной информации подозревают коллектора из Волгограда.

Иван Корякин, Владислав Викторов