Данные без ведома. Жители Казахстана пострадали от утечек персональных данных
Проходящие по уголовному делу фигуранты в Республике Казахстан продавали персональные данные (ПДн) через интернет. Во время обысков изъяли компьютерную технику, электронные носители информации и крупные суммы денег.
Досудебное расследование государственные органы Казахстана ведут по трем статьям Уголовного кодекса (УК) Республики:
- ст. 147 - нарушение неприкосновенности частной жизни и законодательства о персональных данных;
- ст. 208 - неправомерное завладение информацией;
- ст. 210 - создание или распространение вредоносных программ.
По совокупности нарушителям может грозить до 10 лет лишения свободы.
Первый вице-министр цифрового развития Республики Казахстан Ростислав Коняшкин заявил, что расследование продолжается, а ведомство усиливает требования к защите персональных данных. Детали дела пока не раскрываются в интересах следствия.
Устойчивая практика
Генеральный директор ООО "РуБэкап" (входит в "Группу Астра") Андрей Кузнецов подтвердил, что покупателями баз персональных данных выступают разные категории, но в России наиболее активны микрофинансовые организации (МФО) и коллекторские агентства. "Именно МФО и коллекторы, как покупатели таких баз стали массовым явлением из-за специфики их бизнеса и низкой себестоимости", - отметил Андрей Кузнецов.
Директор департамента технологической экспертизы "Софтлайн Решения" (входит в ГК Softline) Денис Чигин назвал случаи фигурирования персональных данных в интернете устойчивой криминальной практикой, которая регулярно возникает и так же регулярно пресекается: "Утекшие данные могут распространяться в Telegram-каналах, на специализированных хакерских форумах (включая BreachForums), а также в даркнете (сегменте интернета, используемом для анонимной незаконной деятельности). При этом тренд на рост утечек и объемов данных есть. В Казахстане в 2024 г. за первые семь месяцев было зарегистрировано 49 правонарушений, связанных с защитой ПДн, что на 19,5% больше, чем за аналогичный период 2023 г. В 2025 г., по данным Комитета по информационной безопасности, было зафиксировано уже 43 критических инцидента утечки данных. Но важно понимать: вместе с этим усиливается и реакция государства - такие схемы все чаще вскрываются и доводятся до уголовных дел".
Граница вины
Ведущий специалист отдела исследовательских разработок ООО "Стахановец" Алексей Миронов объяснил, что граница между административным и уголовным преследованием, как правило, проходит по умыслу и масштабу ущерба: "Если организация нарушила требования к хранению или обработке данных по халатности - это административная ответственность, штраф, предписание регулятора. Уголовная составляющая возникает там, где есть корыстный умысел, организованная схема сбыта, использование вредоносного ПО или причинение существенного вреда гражданам. В казахстанском деле следствие квалифицировало деяния сразу по трем статьям УК, что указывает именно на умышленный характер действий с признаками организованной преступной деятельности".
Ведущий инженер АО "Корп Софт" (CorpSoft24) Михаил Сергеев отметил, что покупатели тоже рискуют попасть под уголовную ответственность, особенно если доказано, что они знали о незаконном происхождении данных и использовали их. "В зависимости от роли и масштаба это могут быть штрафы или даже реальные уголовные сроки", - сказал Михаил Сергеев.
Партнер адвокатского бюро "Павлова, Голотвин, Быканов и партнеры" Денис Быканов поведал, что в Уголовном кодексе Российской Федерации есть специальная норма, устанавливающая уголовную ответственность за незаконный оборот компьютерной информации, содержащей персональные данные - ст. 272.1 УК РФ. "Наказание за такое преступление, в зависимости от дополнительных признаков и тяжести, может составлять до 10 лет лишения свободы. Объективная сторона этого преступления заключается в неправомерном доступе к охраняемой законом компьютерной информации, содержащей персональные данные, и ее копированию. Для этого даже не обязательно взламывать компьютерные программы. Например, если работник организации, обрабатывающей персональные данные, неправомерно получит доступ к таким данным и скачает их с целью перепродажи, то это уже может быть квалифицировано как преступление. Если предприниматель получает персональные данные от клиента и производит их обработку, например, отправляет копию паспорта клиента по электронной почте с нарушением закона о персональных данных (не получив письменное согласие клиента, без регистрации в реестре операторов персональных данных и проч.), то такие действия являются административным правонарушением и караются денежным штрафом", - сказал Денис Быканов.
В чем похожи и чем отличаемся
Денис Чигин рассказал про различия и сходства нормативной базы РФ и Республики Казахстан: "В Казахстане система активно формируется. Усиливается конституционная защита персональных данных, растут административные штрафы, обсуждается введение отдельной уголовной ответственности за массовые утечки. Пока основной акцент - именно на штрафах, а не на уголовном преследовании. В России помимо серьезных административных санкций - вплоть до оборотных штрафов - появилась отдельная уголовная статья за незаконный оборот ПДн с наказанием до 10 лет лишения свободы. Причем ответственность дифференцирована: отдельно выделяются, например, случаи с данными несовершеннолетних или трансграничной передачей".
Управляющий партнер юридической компании "Энсо" Алексей Головченко рассказал, что слив ПДн влечет уголовную ответственность при тяжких последствиях: "В Республике Казахстан - по ст. 147 (нарушение неприкосновенности частной жизни), 208, 210 УК (до 10 лет), если есть ущерб, распространение или организованная группа. Менее тяжкие случаи - административная ответственность или гражданско-правовая ответственность по Закону "О ПДн и их защите" (штрафы, блокировки) без уголовной ответственности. В РФ аналогично: ст. 137, 138 УК для умышленного разглашения с вредом, иначе - КоАП или 152-ФЗ. Если говорить про сравнение норм Республики Казахстан и РФ, то сходства заключаются в том, что оба закона требуют согласия субъекта на обработку, запрещают нецелевое извлечение из общедоступных источников и биометрию без оснований".
https://www.comnews.ru/content/225500/2023-04-17/2023-w16/persdannye-ukral-slil-tyurmu
