Ашманов Игорь Станиславович

Генеральный директор компании «Ашманов и партнеры», президент компании «Крибрум»

Кто мешает принять законопроект об оборотных штрафах за утечки персональных данных?

22 апреля 2024 118 просмотров Законопроект об оборотных штрафах за утечки персональных данных имеет очень трудную судьбу. Его не удаётся никак принять. В течение года его не удавалось вообще внести; потом он прошёл первое чтение, теперь ждёт поправок, как обычно бывает со вторым чтением. Почему этот законопроект настолько важен и почему он встречает такое сопротивление?

У нас в день совершается от пяти до десяти миллионов мошеннических звонков из украинских «контакт-центров». Эти числа – по данным наших мобильных операторов. Это уже 10-20% всего голосового трафика страны.

В Харькове, Запорожье, Чернигове, Киеве работают десятки таких центров и десятки тысяч мошенников. Параллельно идут такие же массовые рассылки в Телеграме, Ватсапе и по другим каналам.

За последние 4-5 лет украинские мошенники украли у наших граждан сотни миллиардов рублей. Последние два года, как минимум, эти центры работают под управлением СБУ. Поэтому всё чаще их деятельность направлена не на кражу денег, а на то, чтобы кошмарить родственников наших воинов и на вербовку подростков и уязвимых категорий населения – подбивая их на поджоги военкоматов, релейных шкафов на железной дороге, на заливание зелёнкой избирательных урн, а после теракта в Крокусе – на организацию терактов.
Добраться до наших граждан и заморочить им голову украинским вербовщикам и мошенникам помогает детальное знание их персональных данных. Когда гражданину звонит «следователь прокуратуры» по поводу просроченного кредита и называет не только ФИО и адрес, но и номер и сумму кредита – очень трудно не поверить, что это настоящий правоохранитель.

То есть персональные данные – это стартовый капитал мошенника и вербовщика. Откуда они у него? Где он взял данные о кредите? Вот то-то и оно.

За последние 4-5 лет у наших банков, мобильных операторов, служб доставки, медицинских учреждений украли сотни миллионов записей персональных данных. Только за прошлый год – около 500 миллионов записей.

Надо понимать, что хотя компании для снятия ответственности всегда кивают на каких-то ужасных внешних «хакеров», практически все эти утечки ПДН – это вынос и продажа их сотрудниками, «инсайдерами».

За это никто из ответственных лиц – не ответил. Регулярно возбуждают дела только против сотрудников салонов связи и прочих мелких сошек, продающих десятки записей. За сотни миллионов записей – никого не посадили.

За утечки нужно наказывать. Хватит безответственности.

Есть два способа наказывать за утечки:

Наказывать компании за недостаточный уровень защиты ПДн. Это как раз и есть норма об оборотных штрафах. Оборотные – значит, вычисляемые от общей выручки компании за год, то есть большие, десятки и сотни миллионов рублей (сейчас они в тысячи раз меньше).

Возбуждать уголовные дела за незаконный оборот ПДн. Это позволит наказывать конкретных исполнителей – системных администраторов, ИТ-директоров, их начальников. В том числе не за непосредственную кражу, но и за халатность менеджмента и акционеров, которая привела к утечке, выносу данных.

Надо понимать, что утечка – это только первое звено, самое начало незаконного оборота персональных данных – перепродажи, использования для мошенничества, в рекламе и т.п. Например, в нашей стране отлично себя чувствуют сервисы «пробива», в которых за небольшие деньги можно узнать про человека почти всё. Ими массово пользуются кадровики, силовики, хотя это уголовное преступление.

Если брать за утечки и продажи ПДн только штрафы, то это – административные дела. В рамках административного дела нельзя вести следствие: производить выемку почты, аккаунтов менеджеров, изымать компьютерную технику, телефоны, поднимать переписку и переговоры по телефону. Потому что в рамках административных дел оперативно-розыскной деятельности (ОРД) – не ведётся.

То есть на самом деле устанавливать пути утечки данных и находить виновных – по сути, невозможно. Это можно делать только в рамках уголовного дела, в ходе ОРД.
А это нужно. Потому что вору данных, коррумпированному сотруднику наплевать на оборотный штраф для его компании – он не акционер, а наёмник, получив за большую выгрузку ПДн в Даркнете деньги, превышающие его оклад во много раз, он уволится и продолжит воровство в другой компании. Тем более это касается перепродавца данных, который вообще ни в какой компании не работает.

Кто же мешает принять закон? Мешает наш большой цифровой бизнес, в том числе напрямую Ассоциация больших данных. Лоббирует торможение и ослабление санкций в законопроекте.

Я был на паре заседаний в Госдуме по данному закону, которые вели Александр Хинштейн и Ирина Рукавишникова. Там «представители бизнеса», совершенно не выказывая никаких угрызений по поводу массовых утечек в их компаниях, настойчиво требовали снизить оборотные штрафы минимум в 10 раз и категорически возражали против уголовного преследования за незаконный оборот данных. По сути, они этим декларировали «с утечками бороться не будем, будем бороться с наказаниями». Это же проще и дешевле.
К счастью, А.Е.Хинштейн и И.В.Рукавишникова этому давлению не поддались, и закон прошёл первое чтение в исходном виде.

Как видим, «бизнес» продолжил борьбу. Хорошо, что их очередные лукавые поправки «завернули». С вакханалией утечек ПДн к врагу во время войны нужно что-то делать, даже если «бизнес» уже привык на этом зарабатывать.

Это вопрос национальной безопасности.