Новости / ноябрь 2019
Роскомнадзор предлагает наказывать за покупку краденых персональных данных

Роскомнадзор собирается инициировать введение административной ответственности за незаконное распространение персональных данных и их покупку. Об этом сообщил вчера глава Роскомнадзора Александр Жаров с трибуны X международной конференции "Защита персональных данных".
© ComNews
08.11.2019

"Мы готовим пакет предложений, направленных на регламентацию внутреннего контроля за обработкой персональных данных и установлением административной ответственности не только за распространение персональных данных, полученных незаконным путем, но и за их приобретение и последующее использование таких данных", - заявил Александр Жаров. Глава Роскомнадзора уточнил, что соответствующее предложение регулятор подготовит и вынесет на общественное обсуждение к весне следующего года. Пока идет формулировка соответствующих предложений.

Роскомнадзор придерживается позиции, что субъект персональных данных должен быть уверен в том, что собираемая, хранимая и используемая информация о нем защищена от преступных посягательств. "Мы считаем, что поскольку утечка персональных данных является серьезной мировой проблемой, то виноват не только тот, кто украл данные, но и тот, кто, сознательно понимая, что он на черном рынке приобретает массив персональных данных, потом их использует без права на то. Он должен нести ответственность", - объяснил журналистам инициативу Александр Жаров.

В последний месяц участились случаи утечек персональных данных. В прошлом месяце "Известия" сообщили о том, что в интернете продается база данных о 11,5 тыс. клиентов Сбербанка. Банк подтвердил возможную утечку учетных записей по кредитным картам, которая затронула как минимум 200 клиентов.

В октябре газета "Коммерсантъ" сообщала о том, что более миллиона кредитных историй клиентов микрофинансовых организаций нашлись в открытом доступе. Тогда же специалисты по кибербезопасности из компании Group-IB обнаружили в открытом доступе базу данных со сведениями об 1,3 млн кредитных и дебетовых карт россиян.

5 ноября Альфа-Банк сообщил о проведении внутреннего расследования по факту незаконного распространения данных 15 клиентов после сообщения РБК о выставленных на продажу данных 3500 клиентов Альфа-Банка и около 3000 клиентов "АльфаСтрахования".

Административная ответственность предполагает наложение штрафов. В этом плане показателен международный опыт. Старший менеджер по защите информации и кибербезопасности KPMG в России и СНГ Кристина Боровикова привела обзор по штрафам и утечкам в рамках общего регламента ЕС о защите данных (General Data Protection Regulation, GDPR) в 2019 г.

По данным KPMG, в топ-3 по размерам штрафов вошли кейсы British Airways (183 млн фунтов стерлингов, или 15,2 млрд руб.), Marriott в Великобритании ($123 млн, или 8,2 млрд руб.) и Goggle во Франции (€50 млн, или 3,6 млрд руб.). В августе-сентябре 2018 г. у British Airways случилась крупномасштабная утечка персональных данных. С сайта и приложения British Airways трафик был перенаправлен на подставной портал, и, таким образом, оказались скомпрометированы данные (платежная информация - банковские карты, имена, фамилии и электронные адреса) около 500 тыс. субъектов. Более того, рассказала Кристина Боровикова, в октябре Верховный суд Великобритании одобрил возможность подачи группового иска для всех пострадавших субъектов.

В ноябре 2018 г. случилась утечка персональных данных клиентов Marriott в Великобритании. По одной из версий, взлом произошел через компанию, приобретенную Marriott в 2016 г., которую не проверили надлежащим образом как контрагента. В результате пострадало 339 млн субъектов из 31 страны, и 7 млн человек из Великобритании. Оба штрафа инициированы и выписаны Управлением комиссара по информации Великобритании (ICO).

Еще один крупный штраф относится к компании Goggle. Национальная комиссия по делам информационных технологий и правам человека Франции (CNIL) нашла у корпорации два типа нарушений. Во-первых, это недостаточная доступность - как смысловая, так и физическая - информации о деталях использования персональных данных. В ряде случаев ее можно получить только после пяти-шести действий на сайтах Google. Во-вторых, неправильное получение этого согласия: оно не является ни достаточно информированным, ни достаточно точным, ни достаточно однозначным.

Директор EY Russia Евгений Ким предупредил о девяти типах рисков, которые должны учитывать работающие с данными компании. К таким он отнес риски, связанные с поведением пользователей, с мобильными устройствами, с доступом к хранимым в облаках данным, ненадлежащей настройкой средств защиты информации (СЗИ), с обработкой данных из нелегальных источников, хранением неструктурированных данных, передачей персональных данных третьим сторонам, предоставлением доступа собственным сотрудникам и третьим сторонам и с приложениями (доступ к данным, разделение полномочий и удаление данных).