В последнее время утечки персональных данных клиентов банков, разного рода финансовых и страховых компаний значительно участились. Чаще всего украденная информация продается на специализированных ресурсах. Поймать продавца удается далеко не всегда, и для того, чтобы снизить востребованность такого рода товаров на рынке, Роскомнадзор принял решение штрафовать покупателей.

Ответственность планируется ввести за покупку и дальнейшее использование похищенных персональных данных. Об этом заявил глава Роскомнадзора Александр Жаров на X Международной конференции «Защита персональных данных», которая проходит в Москве. По его словам, ведомство уже готовит соответствующие предложения.

«Мы готовим пакет предложений, направленных на регламентацию внутреннего контроля за обработкой персональных данных и установлением административной ответственности не только за распространение персональных данных, полученных незаконным путем, но и за их приобретение и последующее их использование», — заявил чиновник.

Ответственность в текущем контексте — штрафы, которые планируется налагать на лиц, которые покупают и используют похищенные данные пользователей сети. Сейчас о размерах штрафов ничего неизвестно — их установят после того, как будет принят закон об увеличении штрафов в качестве наказания за хранение персональных данных граждан РФ за границей.

По словам Жарова, поправки к действующему законодательству планируется разработать и внести в Госдуму к весенней сессии. Ведомство планирует на активную общественную дискуссию этой инициативы.

Жаров считает, что поскольку утечка данных участилась, нужно активизировать диалог между Роскомнадзором, бизнесом и специальными подразделениями правоохранительных органов, которые расследуют проблемы такого рода. Одна из «плохих новостей», с которыми нужно разбираться, по словам Жарова — случай с Twitter, сотрудники которого украли персональные данные пользователей для перепродажи.

Речь идет о подкупе двух сотрудников Twitter властями Саудовской Аравии. Последним были нужны персональные данные различных пользователей, включая политических активистов.

Что касается РФ, то случаев утечки действительно много — и ведь далеко не о всех становится известно. Так, на днях в сети появилась информация о том, что в интернете продается база данных 3,5 тысяч клиентов Альфа-банка и его дочерней компании. Данные, которые утекли в сеть, были взяты из договоров — а это значит, что по ним можно с легкостью идентифицировать клиента, узнав также сумму кредитного лимита или оформленной им страховки.

Крупнейшая утечка этого года — база Сбербанка с миллионом строк. Она собиралась с 2015 года и содержит полные данные клиентов банка, имеющих кредиты или кредитные карты: паспорт, прописка, адреса проживания, телефоны, счета, сумма остатка или задолженности. Кроме того, в продажу попала и дополнительная информация о клиентах — это выгрузка последнего звонка клиента в банк. База, по словам ее продавца, обновляется еженедельно. За три последних недели октября в нее попало около 20 тысяч строк.

В случае Сбербанка удалось задержать подозреваемого — им оказался житель Волгограда, который работал коллектором. Сбербанк в конце октября заявил о намерении расторгнуть контракт с коллекторским агентством, в котором работал этот сотрудник.

Комментарии (27)


  1. kmeaw
    07.11.2019 22:00
    +4

    Но почему не продавцов?


    1. fougasse
      07.11.2019 22:51
      +4

      Так их же ловить нужно, а покупатель легко делается из любого, вон в следующем комментарии уже объяснили, что хранение ПД без согласия владельца — вне закона, а транзакция найдётся, если нужно.


    1. shiotiny
      08.11.2019 08:11

      для продавцов уже вроде статья есть.

      Так, в соответствии со ст. 137 УК РФ, незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении,


      Оно?


      1. AbstractGaze
        08.11.2019 08:29

        Нет не оно. Распространение — это неопределенному кругу лиц, а тут получается факт купли продажи т.е. круг лиц определен. Получается если продавать или отдавать их определенному кругу лиц — то в большинстве случаев вам за это сейчас ничего не будет.
        Но, надо видеть поправки и «бешеные» штрафы которые там буду, а то получается что если отдавать бесплатно определенному кругу лиц, то все равно за это ничего не будет даже с учетом новых поправок.


        1. SpiderEkb
          08.11.2019 09:58
          -1

          Тут возможно незаконное собирание и нарушение п.3 ст.18 153 ФЗ:

          Если персональные данные получены не от субъекта персональных данных, оператор, за исключением случаев, предусмотренных частью 4 настоящей статьи, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
          1) наименование либо фамилия, имя, отчество и адрес оператора или его представителя;
          2) цель обработки персональных данных и ее правовое основание;
          3) предполагаемые пользователи персональных данных;
          4) установленные настоящим Федеральным законом права субъекта персональных данных;
          5) источник получения персональных данных.



          1. AbstractGaze
            08.11.2019 14:42

            Вообще мы оба не правы, там не про персональные данные, а сведения о личной жизни и т.п.


        1. softaria
          09.11.2019 19:24

          .


  1. balamutang
    07.11.2019 22:22

    Какие им правки и предложения нужны? хранение ПД без согласия владельца — уже вне закона.


    1. Newcss
      08.11.2019 07:31
      +1

      Попробуйте докажите. На сайте почты России есть услуга — Рассылка адресатам, выбранным из базы данных Почты России по нужным вашему бизнесу параметрам (возраст, пол, регион проживания, интересы и другое).
      Любой желающий может заказать подобную рассылку. Я писал жалобу в РосКомНадзор на законность данной услуги, т.к. персональные данные у них для посылок и люди не давали согласия на рекламу. Ответ не заставил себя ждать — отписка в стиле — а вам реклама от них приходила? — а как же я докажу что рекламу они осуществили…


      1. sberdyshev
        08.11.2019 18:15

        Заказав рекламу себе :) (фокус группе, в которую вы входите)


  1. CherryPah
    07.11.2019 23:45
    +2

    А как там со штрафами организаций которые собирают мои пд но не могут их удержать


    1. bugdesigner
      08.11.2019 05:50

      Не удивлюсь, если начнут штрафовать тех, чьи данные продаются. Если посмотреть на последние "инициативы", приходишь к выводу, что штрафы в РФ вводятся совсем не для сдерживания правонарушений.


    1. karl93rus
      08.11.2019 08:35

      Законопроект уже разрабатывается. Всё есть. Хотя, на мой взгляд, штрафы смехотворные. Тут интереснее читать договора со всякими банками и ответственность сторон за несоблюдение договоренностей при хранении и обработке персухи. И, отталкиваясь от этих договоренностей, качать права, если есть факт утечки, например, или использования для рассылки. Хотя, я так думаю, для рассылки используются обезличенные данные. Ну, то есть только то, что ты мужчина от 25 до 30 лет. Может быть ещё что-то такое. Тут, я думаю, в договоре это предусмотрено и ничего не сделать с этим.


  1. servermen
    08.11.2019 00:40
    +3

    В общем понятно, что это предложение направлено вовсе не против борьбы с продажей перс. данных, а против всяких разных журналистов-расследователей, дабы они лишний раз не совали свой длинный нос куда не следует, и не разводили потом ненужную шумиху вокруг этого дела…


    1. Barbaresk
      08.11.2019 03:20
      +1

      Ага, причём раньше, видимо, их сложнее было посадить, потому что все обычно покупали данные на себя, а вот теперь все будет гладко. Прямо вот типичный способ борьбы с нарушением…


  1. xtreye
    08.11.2019 05:50

    Платите преступнику? Не забудьте отстегнуть РКН


  1. Newm
    08.11.2019 09:51

    Я что-то ничего не понял. А разве покупатель ПД уже сейчас не влетает в штрафы по КоАП 13.11.1-13.11.4 — причем сразу по всем пунктам?

    1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от тридцати тысяч до пятидесяти тысяч рублей.
    2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, — влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц — от десяти тысяч до двадцати тысяч рублей; на юридических лиц — от пятнадцати тысяч до семидесяти пяти тысяч рублей.
    3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных — влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц — от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от пяти тысяч до десяти тысяч рублей; на юридических лиц — от пятнадцати тысяч до тридцати тысяч рублей.
    4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, — влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц — от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей — от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц — от двадцати тысяч до сорока тысяч рублей.


  1. Sabubu
    08.11.2019 09:57

    Попадет ли под новый закон Научный центр при Управделами Президента, разработчик системы Псков и Шерлок, осуществляющей поиск в том числе по всяким незаконно собранным БД?


  1. orange82
    08.11.2019 11:09

    1. balexa
      08.11.2019 11:27

      Можно подумать, у нас практика другая.


      1. orange82
        08.11.2019 12:03

        Такая же, но это наша прекрасная практика, о ней пишут в прекрасных газетах, а не в каких-то там блогах. Нельзя ругать, это неуважение.


        1. mig126
          08.11.2019 14:43

          Так вот почему запретили анонимные платежи в терминалах оплаты, чтобы было проще найти покупателя.
          С другой стороны как искать распространителя не понятно. Криптовалюты и телеграмм.
          Остаётся только оперативная работа с «закладчиками». А органы у нас работают через пень колоду.


          1. orange82
            08.11.2019 15:19

            Так вот почему запретили анонимные платежи
            Это один из редких случаев, когда истинные причины не столь далеки от формальных. Власти (в лице главы комитета Госдумы по финансовому рынку Анатолия Аксакова) признают, что
            поправки внесены по просьбе службы финансового мониторинга (Росфинмониторинг. — РБК), так как эти кошельки могут использоваться для финансирования распространения наркотиков, терроризма и т.д.
            Торговля персональными данными вполне может попасть под эти «и т.д.». Остаются криптовалюты, с ними вроде тоже пытаются бороться.


          1. Gar02
            08.11.2019 15:41
            +1

            Какие гадкие и тупые у нас органы!

            Сколько идиотов идут «работать» закладчиками? Вполне достаточно. Отловят и посадят одних — придут другие. Раскрутить схему до вышестоящего дилера — фигушки, ибо он управляет ими по Телеге.
            Сколько мест для закладки будет в городе-миллионнике? Гораздо больше, чем до хрена.
            Сколько понадобится оперов, чтобы взять под наблюдение ВСЕ потенциальные места закладок? Примерно столько же. Камер понавешать и на ИИ завязать? Бюджет и технарей — в студию!

            Единственный выход — рубить голову этому монстру. Ту самую, что стрижёт купоны. А это будет затруднительно, ибо они и есть — уважаемые бизнесмены и меценаты города.

            Мне этих ментов просто жаль. Всё видят, всё знают и понимают, а тронуть настоящих гадов не могут: начальство сожрёт.


            1. mig126
              09.11.2019 19:20

              Тем не менее какое то время с закладчиками массово боролись(и даже ловили), правда из за того что полиция по привычке превышала свои полномочия, после поднятия волны возмущений, тихо прекратили практику.


  1. amarao
    08.11.2019 12:35

    В следующий раз, когда Ведомости подтвердят утечку очередного миллиона персональных данных из СБ, их оштрафуют за покупку этих данных, одновременно опровергая факт утечки.


    1. balexa
      08.11.2019 13:15

      +1. Тем более у нас уже есть прецеденты, когда активистам дали срок за надпись на заборе, данные о существовании которого опровергли.