Минцифры разрабатывает законопроект об ответственности за утечку персональных сведений клиентов. Согласно ему, под уголовное преследование может попасть виновник слива, повлекшего тяжкие последствия, заявил глава думского комитета по информполитике Александр Хинштейн. Что это означает на практике? И поможет ли остановить череду взломов? Об этом — Даниил Бабкин.
Фото: Игорь Харсеев, Коммерсантъ
Фото: Игорь Харсеев, Коммерсантъ
Экспресс-доставка СДЭК: два файла с данными пользователей, в сумме более миллиарда строк. Лаборатория «Гемотест»: имена, телефоны и паспорта 30 млн клиентов. Сервис доставки Delivery Club: миллион строк с информацией о заказах. Сервис «Яндекс.Еда»: адреса, коды от домофонов и сумма трат 60 тыс. человек за последние полгода. И это лишь самые громкие примеры утечек данных за последнее время.
На «Яндекс» клиенты подали в суд, и тот назначил штраф в 60 тыс. руб. Видимо, понимая незначительность такого наказания, власти готовят ужесточение закона, а в Госдуме теперь не исключают и уголовной ответственности. По словам депутата Александра Хинштейна, это может коснуться тех, кто допустил утечку, повлекшую самые тяжкие последствия — смерть или инвалидность. Соавтор модельного закона СНГ «О персональных данных» Урван Парфентьев предположил, из-за чего это может произойти:
«К примеру, в результате слива у человека резко ухудшились условия жизни, допустим, он подвергся травле. Он вообще может предпринять попытку суицида. В свое время была такая забавная песенка: я вычислю тебя по IP — ты еще пожалеешь, что компьютер купил. Если имеются персональные данные гражданина, то в отношении него может быть организовано и преступление».
После нескольких крупных утечек в интернете можно найти адреса большинства своих контактов, зная только номер телефона. Роскомнадзор блокировал такой сайт, но с VPN он по-прежнему работает. И пространство для криминала действительно есть, признают собеседники “Ъ FM”. Но даже если в финальную версию закона попадет пункт об уголовном преследовании, число таких дел будет невелико, считает адвокат, правовой аналитик проекта «Сетевые свободы» Станислав Селезнев:
«Придется доказывать, имеется ли прямая причинно-следственная связь между определенными действиями конкретного лица, которое допустило распространение данных, и последствиями, например, в виде того, как некий сталкер купил, нашел где-то в базе персональные данные бывшей жены, посмотрел, где она живет, и украл ребенка или убил ее. Это достаточно нетривиальная задача».
Минцифры готовится увеличить и суммы штрафов — для бизнеса они могут достигать 3% от годовой выручки. Генеральный директор компании «Киберполигон» Лука Сафонов поддерживает и административную, и уголовную ответственность за утечки. При этом он отмечает, что обеспечить безопасность могут далеко не все компании, и им должно помочь государство:
«Необходимо финансирование и привлечение специалистов в ведущие российские вузы, чтобы прокачать максимально большое количество новых работников по информационной безопасности, системам хранения, обработке и мониторингу данных — не у всех есть на это ресурсы. Здесь надо помогать, может быть, раздавать эти средства российским компаниям. Мы часть продуктов, например, после начала военной операции предоставляем им бесплатно».
Председатель Ассоциации участников рынка данных Иван Бегтин тоже считает, что компаниям придется серьезнее работать над внутренней безопасностью. Но сами по себе штрафы проблему не решат, отмечает он: «Ужесточение штрафов — это усиление государства, а я говорю о праве на усиление граждан.
Если произойдет утечка на каком-нибудь Avito, то не государство должно штрафовать компанию, а вы как гражданин, который от этого пострадал, должны иметь право взыскать моральный вред.
И Avito должно бояться этих исков гораздо больше, чем любых штрафов. Потому что сейчас этот закон не усиливает нас с вами, он усиливает зависимость крупнейших технологических компаний от государства».
Отдельная история с теми, кто распространяет утекшие данные дальше. Уголовная это или административная ответственность, пока не решили, заявили в Госдуме. В любом случае главный вопрос в том, что считать распространением, и может ли таковым быть репост или даже отправленная в общий чат ссылка на слитую базу данных.
Новости в вашем ритме — Telegram-канал "Ъ FM".