Публикация баз с персональными данными, самостоятельно раскрытыми их субъектами, не должна приводить к преследованию за утечки, считают в Ассоциация больших данных (АБД, объединяет «Яндекс», VK, «Ростелеком», «МегаФон» и др.). Бизнес предложил ввести такую оговорку в законопроект об оборотных штрафах, направленный в правительство, и установить наказание за фейки об утечках. Эксперты отмечают, что специалисты легко могут отличить компиляцию публичных сведений от утекших баз, а ограничения на распространение данных об инцидентах создаст риски давления на СМИ.
Фото: Игорь Иванко, Коммерсантъ
Фото: Игорь Иванко, Коммерсантъ
“Ъ” ознакомился с отзывом АБД на законопроект об оборотных штрафах за утечку персональных данных. Письмо от 4 августа было направлено в аппарат правительства, Минцифры, Минэкономики и Минюст. Ассоциация, в частности, отмечает риск привлечения компаний к ответственности при появлении в свободном доступе компиляций из данных, самостоятельно раскрытых их субъектами. Такие компиляции уже публикуются под видом утечек, говорится в письме.
Идею оборотных штрафов за утечку персональных данных в 2022 году выдвинул глава Минцифры Максут Шадаев. В июне 2023 года проект поправок к КоАП за авторством сенаторов Андрея Турчака и Ирины Рукавишниковой и депутата Александра Хинштейна был направлен премьер-министру Михаилу Мишустину. Документ (есть у “Ъ”) предусматривает штрафы до 15 млн руб. за первую утечку и от 0,1% до 3% годовой выручки за последующую.
После начала военных действий на Украине данные пользователей многих крупных российских сервисов («Яндекс.Еда», СДЭК, Ozon и т. п.) попали в открытый доступ. В ряде случаев компании и организации, фигурировавшие в сообщениях об утечках, утверждали, что базы собраны из старых, уже опубликованных данных. Об этом, в частности, заявляли в январе и феврале 2023 года «Почта России» и «СберЛогистика».
Создание компиляций публичных данных не считается нарушением закона, и компании, пострадавшие от «лжеутечек», лишены возможности компенсировать судебные расходы с создателей баз.
- В АБД предлагают включить в законопроект оговорку, по которой положения статьи о наказании за утечку «не распространяются на случаи самостоятельного раскрытия данных неопределенному кругу лиц самим субъектом персональных данных». Без нее документ создает риски для соцсетей, мессенджеров и компаний, обязанных раскрывать данные работников, считают в АБД.
- Также там предлагают ввести в КоАП РФ ответственность за заведомо ложное сообщение об утечке персональных данных и фальсификацию доказательств утечек.
В аппарате правительства и в Минюсте сообщили “Ъ”, что письмо к ним не поступало, остальные адресаты не ответили на запросы.
Чем реже происходят реальные утечки данных, тем чаще в сети появляются компиляции, сейчас публикуется до десяти таких баз ежемесячно, говорит основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян: «Продаются они чаще всего под видом якобы новых утечек, спрос на которые формируют начинающие мошенники, не очень разбирающиеся в том, что покупают». Выдать компиляцию за оригинальную базу, по его словам, почти невозможно, потому что данные из оригинальных баз уникальны: «Даже поверхностный анализ базы специалистами по кибербезопасности позволяет точно определить, оригинальная это утечка или компиляция».
Господин Оганесян добавляет, что к компиляциям относятся и обогащенные базы (составляются из нескольких отдельных баз, объединенных по телефонам или адресам почты), однако они не пользуются особым спросом: «Такие базы интересны в основном маркетологам и спамерам».
Идея ввести наказание за сообщение об утечке «создаст условия для давления на СМИ», считает руководитель практики интеллектуальной собственности DRC Владимир Ожерельев. Но бизнес-консультант по кибербезопасности Positive Technologies Алексей Лукацкий считает, что к медиа будет трудно применить статью о «фейках об утечках»: «Тем, кто подадут в суд на СМИ, придется доказывать, что информация была опубликована заведомо ложно. Доказать это сложно». Сообщения об утечках, добавил эксперт, в большинстве своем публикуются в анонимных каналах, поэтому предлагаемая норма КоАП «вряд ли сильно повлияет на текущую ситуацию».