Коммерсантъ FM

Данные пошли самотеком

Бизнес опасается штрафов за мнимые утечки

Публикация баз с персональными данными, самостоятельно раскрытыми их субъектами, не должна приводить к преследованию за утечки, считают в Ассоциация больших данных (АБД, объединяет «Яндекс», VK, «Ростелеком», «МегаФон» и др.). Бизнес предложил ввести такую оговорку в законопроект об оборотных штрафах, направленный в правительство, и установить наказание за фейки об утечках. Эксперты отмечают, что специалисты легко могут отличить компиляцию публичных сведений от утекших баз, а ограничения на распространение данных об инцидентах создаст риски давления на СМИ.

Фото: Игорь Иванко, Коммерсантъ

Фото: Игорь Иванко, Коммерсантъ

“Ъ” ознакомился с отзывом АБД на законопроект об оборотных штрафах за утечку персональных данных. Письмо от 4 августа было направлено в аппарат правительства, Минцифры, Минэкономики и Минюст. Ассоциация, в частности, отмечает риск привлечения компаний к ответственности при появлении в свободном доступе компиляций из данных, самостоятельно раскрытых их субъектами. Такие компиляции уже публикуются под видом утечек, говорится в письме.

Идею оборотных штрафов за утечку персональных данных в 2022 году выдвинул глава Минцифры Максут Шадаев. В июне 2023 года проект поправок к КоАП за авторством сенаторов Андрея Турчака и Ирины Рукавишниковой и депутата Александра Хинштейна был направлен премьер-министру Михаилу Мишустину. Документ (есть у “Ъ”) предусматривает штрафы до 15 млн руб. за первую утечку и от 0,1% до 3% годовой выручки за последующую.

После начала военных действий на Украине данные пользователей многих крупных российских сервисов («Яндекс.Еда», СДЭК, Ozon и т. п.) попали в открытый доступ. В ряде случаев компании и организации, фигурировавшие в сообщениях об утечках, утверждали, что базы собраны из старых, уже опубликованных данных. Об этом, в частности, заявляли в январе и феврале 2023 года «Почта России» и «СберЛогистика».

Создание компиляций публичных данных не считается нарушением закона, и компании, пострадавшие от «лжеутечек», лишены возможности компенсировать судебные расходы с создателей баз.

  • В АБД предлагают включить в законопроект оговорку, по которой положения статьи о наказании за утечку «не распространяются на случаи самостоятельного раскрытия данных неопределенному кругу лиц самим субъектом персональных данных». Без нее документ создает риски для соцсетей, мессенджеров и компаний, обязанных раскрывать данные работников, считают в АБД.
  • Также там предлагают ввести в КоАП РФ ответственность за заведомо ложное сообщение об утечке персональных данных и фальсификацию доказательств утечек.

В аппарате правительства и в Минюсте сообщили “Ъ”, что письмо к ним не поступало, остальные адресаты не ответили на запросы.

Чем реже происходят реальные утечки данных, тем чаще в сети появляются компиляции, сейчас публикуется до десяти таких баз ежемесячно, говорит основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Продаются они чаще всего под видом якобы новых утечек, спрос на которые формируют начинающие мошенники, не очень разбирающиеся в том, что покупают». Выдать компиляцию за оригинальную базу, по его словам, почти невозможно, потому что данные из оригинальных баз уникальны: «Даже поверхностный анализ базы специалистами по кибербезопасности позволяет точно определить, оригинальная это утечка или компиляция».

Господин Оганесян добавляет, что к компиляциям относятся и обогащенные базы (составляются из нескольких отдельных баз, объединенных по телефонам или адресам почты), однако они не пользуются особым спросом: «Такие базы интересны в основном маркетологам и спамерам».

Идея ввести наказание за сообщение об утечке «создаст условия для давления на СМИ», считает руководитель практики интеллектуальной собственности DRC Владимир Ожерельев. Но бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий считает, что к медиа будет трудно применить статью о «фейках об утечках»: «Тем, кто подадут в суд на СМИ, придется доказывать, что информация была опубликована заведомо ложно. Доказать это сложно». Сообщения об утечках, добавил эксперт, в большинстве своем публикуются в анонимных каналах, поэтому предлагаемая норма КоАП «вряд ли сильно повлияет на текущую ситуацию».

Юрий Литвиненко

Зарегистрируйтесь или войдите, чтобы дочитать статью

Это бесплатно и вы сможете читать все закрытые статьи «Ъ»

Новости компаний Все

Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...
Загрузка новости...