Личные данные снова слили в Сеть: кто должен за это отвечать?

Гости
Саркис Дарбинян
ведущий юрист «РосКомСвободы», руководитель Центра цифровых правт
Дмитрий Мариничев
интернет-омбудсмен

Тамара Шорникова: Снова утекли. В открытом доступе нашли еще одну клиентскую базу. На этот раз «Билайна». Почти 9 млн записей – имена, адреса и телефоны абонентов, подключивших домашний интернет через «Билайн» по всей России.

Иван Князев: В компании утечку подтвердили. В пресс-службе заявили: инцидент произошел еще в 2017 года. Большая часть личных данных устарела. Но адреса и номера телефонов обычно меняют реже, чем даже стрижку люди делают. И коллеги, которые нашли свои телефоны и адреса в базе, подтверждают: все актуально.

Тамара Шорникова: Тем временем руководство Сбербанка продолжает отчитываться о своей пропаже. Нашли виновника утечки данных своих клиентов. Им оказался 27-летний сотрудник финансовой организации. Он имел доступ к соответствующей информации и решил на этом заработать. С ним сейчас работают правоохранительные органы.

Иван Князев: И вот вопрос: почему крупнейший банк в стране легко может обокрасть один молодой специалист? Действительно ли время лечит, как утверждает один из крупнейших операторов? Будем выяснять, как защитить свои личные данные в сети. Как, по-вашему, кто должен отвечать за их пропажу и насколько строго отвечать?

Тамара Шорникова: Ждем ваших звонков и сообщений. Сейчас будем ждать в эфире и нашего первого эксперта.

Иван Князев: Дмитрий Мариничев с нами на связи. Дмитрий, здравствуйте.

Тамара Шорникова: Интернет-омбудсмен Дмитрий Мариничев с нами на связи. Дмитрий, новая утечка. Говорят, что времени прошло немало, с тех пор как данные ушли на черный рынок. Тем не менее, чем это может грозить реальным людям? Все-таки полные имена, фамилии, отчества, адреса, номера телефонов – домашних, мобильных. Чем может быть опасно?

Дмитрий Мариничев: Технологически эти данные не сильно опасны, для того чтобы без ведома человека можно было списать что-то или похитить его денежные средства. Однако с точки зрения так называемых социальных мошенников и социального мошенничества это достаточно чувствительная информация, с помощью которой можно втереться в доверие, развести (здесь, к сожалению, другой терминологии не подходит) человека на перевод денежных средств или получение доступа в его банк-клиент и другие информационные системы, и уже после этого похитить его денежные средства. Поэтому нужно быть всегда осторожным, когда вам звонят, представляются, называют по фамилии, имени, отчеству, проверяют ваш домашний адрес, называя его. Нужно понимать, что эти данные на сегодняшний день могут находиться в свободном доступе у неограниченного круга лиц. И они могут достаточно ловко им пользоваться. Чем-то это похоже на встречу цыган на вокзальной площади.

Иван Князев: Дмитрий, а с той точки зрения, что реально достали уже. Все время спрашиваю, когда кто-нибудь звонит – откуда у вас мой номер телефона, откуда у вас мои данные? Отвечают: «У нас было в базе». Как-то с этой точки зрения можно на них повлиять?

Тамара Шорникова: Куда обращаться, чтобы обезопасить себя от спам-звонков и от конкретно мошенников?

Дмитрий Мариничев: Обращаться, конечно, пока не очень сильно поможет. Но на самом деле механика, я думаю, с учетом всех последних утечек будет выработана. И, вполне возможно, будет некий общий условный телефон доверия или система обращения граждан к операторам связи, к банкам, для того чтобы достаточно быстро вычленять злоумышленников, которые проводят такие спам-рассылки, спам-звонки. И, соответственно, уже непосредственно правоохранительные органы могут заняться для выявления, откуда эти базы данных, на основании чего они звонят и откуда это все появляется. И прекращать эту работу незамедлительно.

Тамара Шорникова: По причинам утечек. Сейчас говорит опять человеческий фактор. В Сбербанке один человек украл большую базу. Там уже серьезные данные клиентов кредитных карт. Один из крупнейших банков, наверное, крупнейший банк в нашей стране с вечными разговорами об автоматизации, о переходе на роботов вместо консультантов и так далее. И при этом один человек способен обокрасть этот банк. Действительно невозможно защититься от пресловутого человеческого фактора, или все-таки есть какие-то явные изъяны в системе безопасности?

Дмитрий Мариничев: Нельзя сказать, что совершенно невозможно защититься от человеческого фактора. Он, к сожалению, будет присутствовать. Но на сегодняшний день система уже конструируется так, что все утечки, все возможные доступы к персональным данным точно так же в критическом режиме фиксируются. И найти такого злоумышленника в принципе не составляет труда, особенно если он находится в составе сотрудников и имеет некий доступ, который достаточно четко регламентирован. Это, может быть, проще сказать от небольшого ума каких-то сотрудников, которые хотят быстро нажиться на перепродаже этих данных.

Естественно, системы усложняются, общий доступ к базе данных практически невозможен. То есть такой объем данных, как в Сбербанке или как в сегодняшнем случае – это все, наверное, такая работа над ошибками, как, знаете, говорится: все инструкции по технике безопасности пишутся кровью. Здесь примерно все то же самое, только кровь такая цифровая в виде утечек персональных данных, усугубление ответственности и нормативной базы по хранению, управлению персональными данными.

В данном случае хочется сказать, что в любом случае, если есть централизованная база данных, всегда будут люди, которые имеют административный доступ к этой базе данных. И всегда могут происходить утечки. Вопрос, конечно, объемов, возможности этого получения. И на сегодняшний день почти, наверное, близка к нулю ситуация, чтобы базы можно было выкачать из информационных систем одним файлом централизованно. С этим, наверное, в будущем не будем сталкиваться. И, по крайней мере, надеюсь, что такого не будет происходить.

Иван Князев: Понятно. Спасибо вам большое. Дмитрий Мариничев был с нами на связи, интернет-омбудсмен. И сейчас послушаем нашего телезрителя. Тамара нам дозвонилась, тезка твоя.

Тамара Шорникова: Здравствуйте.

Зритель: Здравствуйте. Я считаю, что очень неправильно делается то, что с нас всегда в любой организации… мы обязаны дать согласие на обработку наших персональных данных без нашего согласия в течение 5 лет. В больнице зубы лечишь – обязательно берут расписку. Зачем им мое имущественное положение? В банке ни один договор не заключишь, чтобы там не написано было, что я согласна. Из-за того, что я согласна (я вроде подписала), никто (ни банк, ни больница) не отвечают за то, что у них украдут эти персональные данные. Потому что мы даем такую подписку. Нас заставляют это делать. И это, я считаю, неправильно. Зачем эти подписки? Ни в одной организации невозможно ничего сделать без этой подписки.

Тамара Шорникова: Тамара, а вы лично с мошенниками сталкивались? Или хотя бы с назойливыми звонками, предлагающими разные услуги.

Зритель: Да, сталкивалась. Все персональные данные мои знают. С кем и чего я делала – все знают. Я, конечно, с ними не разговариваю. Дело в том, что я по роду своей деятельности… Я представляю, что это за закон, знаю этот закон, с банком спорила, зачем они вписывают мне в договор этот пункт. Выспорила. Тогда мне все исправили. Но сейчас все равно включают. Они с себя ответственность всю снимают. Сами же распространяют и за это не отвечают. Если бы они за это отвечали, то никакие данные наши бы никуда не попали.

Тамара Шорникова: Да, спасибо большое, Тамара. Сейчас по поводу того, кто и как должен отвечать за персональные данные, выясним мнение нашего нового эксперта. Саркис Дарбинян, ведущий юрист Роскомсвободы. Саркис, здравствуйте.

Саркис Дарбинян: Приветствую.

Тамара Шорникова: Вот как раз наша телезрительница говорит о том, что, действительно, от пончиковой до крупного банка везде просят уже личные данные. Ты расписываешься за всякие файлы cookies, за то, что любая организация твои данные может обрабатывать и так далее. А вправе ли они в обязательном порядке нам эту услугу предлагать, или мы можем отказаться?

Саркис Дарбинян: Смотрите, тут все зависит от того, по какому пути идти. В Китае уже сим-карты привязывают к биометрике. Это закон. Если это станет законом, это станет обязательным для всех. Пока есть возможность отказаться от обработки тех или иных данных. Но, опять же, сделать это удается не всегда, потому что, как вы понимаете, закон достаточно слабо защищает человека в этом цифровом мире.

Иван Князев: Саркис, скажите, пожалуйста, а у меня такой вопрос. А слить данные или продать кому-нибудь – это выгодно? Сколько стоит то? Мне просто интересно, почему люди на это идут. У кого какой интерес во всем этом?

Саркис Дарбинян: Данные – это, конечно, нефть цифровой экономики. И мы не задаем вопрос, сколько нефть и что из нее получают. Они стоят для разных компаний по-разному. Есть огромные черные рынки, которые торгуют данными. И, естественно, это все имеет ценность, потому что это позволяет получить доступ к огромному количеству активов и воздействует на человека.

Иван Князев: А ценность – это сколько в рублях?

Тамара Шорникова: Условный Иван Иванович Иванов стоит 1 рубль. Или 50 таких Ивановых стоят 1 рубль?

Саркис Дарбинян: Я, опять же, не специалист по ценообразованию. Этот вопрос задается, знаете, сейчас часто и соцсетям. Цукербергу задают вопрос: «Сколько стоит один пользователь?» Говорят, что один пользователь Фейсбука оценен от $1 до $10. Сколько стоит на черном рынке информация о человеке и насколько она широкая – сказать сложно. Все зависит, конечно же, от объемов тех данных, которые продаются.

Иван Князев: Негусто.

Тамара Шорникова: А что грозит, тем не менее? Представляешь, какие объемы? Только одна утечка Сбербанка сколько могла бы привлечь средств.

Саркис Дарбинян: К сожалению, это самый больной вопрос, потому что максимум, на что может надеяться человек (и об этом говорит судебная практика) – это компенсация морального вреда в размере 5000 рублей. Это средний размер компенсации за нарушение прав на персональные данные. И, соответственно, это все сдерживает людей, потому что издержки на адвокатов будут намного дороже, чем даже взыскание какой-то моральной сатисфакции. И это все сказывается на том, что мы констатируем, что в России нет никакой защиты данных и никто не охраняется законом.

Тамара Шорникова: Смотрите, материально не отвечаю. Если, наверное, только у тебя с карты при этом не спишут все деньги и не докажут, что это как-то связано с утечкой данных.

Саркис Дарбинян: Реально, да.

Тамара Шорникова: Какова же все-таки ответственность за людей, которые эту утечку осуществили? Например, с тем же 27-летним сотрудником «Сбербанка» сейчас работают правоохранительные органы. Ему что конкретно грозит? А банку в целом, что проглядели такого сотрудника, что-то за это будет?

Саркис Дарбинян: Нет. Банк извинился. К банку, наверное, санкций не будет. К нему применят меру дисциплинарного принуждения. Уволят. Скорее всего, будет, возможно, даже какая-то уголовка с условным сроком на пару лет, и на этом вся история закончится.

Иван Князев: Ну, понятно. А начальник отдела кадров банка, скорее всего, ни за что отвечать не будет. Спасибо вам большое. Саркис Дарбинян был с нами на связи, ведущий юрист Роскомсвободы. С этой темой пока все. Переходим к следующей.

Мнения интернет-омбудсмена и юриста