Об уголовной ответственности за утечки ПД

440

Об авторе: Ашот Оганесян, основатель сервиса разведки утечек данных и мониторинга даркнета DLBI

Можно выделить три категории лиц, ответственных за утечки персональных данных (ПД), – т.е. тех, кто подлежит наказанию.

Во-первых, недобросовестные сотрудники компаний (прежде всего операторов связи и банков) и правоохранительных органов, имеющие доступ к ПД. Они совершают единичные кражи данных, оказывая заказчикам незаконную услугу так называемого пробива. Это уголовно наказуемое деяние, а именно – неправомерный доступ к охраняемой компьютерной информации (в части копирования), в Уголовном кодексе РФ на этот счёт есть п. 1 ст. 272 УК РФ.

По этой статье дела заводятся и доводятся до суда. О правоприменительной практике можно прочесть здесь.

Во-вторых, операторы ПД. Юридические лица, допустившие утечки ПД, по сути, виновны гораздо более, чем отдельные воришки. От операторов базы ПД уходят в полном объёме и становятся доступны для бесконтрольного использования, «настоящими» уголовниками в том числе.

Однако правоприменительной практики, аналогичной той, что сложилась в случае первой категории расхитителей ПД, для наказания операторов ПД нет.

Наконец, в-третьих – анонимные продавцы и перепродавцы ПД, «оптовики» чёрного рынка данных, посредники между поставщиками и скупщиками краденых ПД. Действуют они исключительно анонимно, в даркнете, и наносят самый серьёзный вред.

Введение уголовной ответственности за такие деяния оправдана тяжестью таких преступлений, это очевидно. Не очевидно, однако, что существует практическая возможность привлечь преступника к ответственности. За последние два года имели место сотни инцидентов такого рода, и ни один «крупный» поставщик ПД ни разу не только не был осуждён, но не был даже обнаружен. Это свидетельствует об отсутствии у правоохранительных органов опыта и возможностей деанонимизации «профессионалов даркнета».

Введение уголовной ответственности за «оптовую» торговлю крадеными ПД можно будет приветствовать только в том случае, если это стимулирует правоохранителей на эффективный розыск преступников.

С моей точки зрения, вне зависимости от этого следует сосредоточиться на неотвратимости наказания для операторов утекающих ПД. Это наказание должно быть финансовым и достаточно сильно бить по кошельку, чтобы сделать для любой компании более выгодным инвестирование в защиту персональных данных, чем уплату штрафа.

Конечно, должен быть формализован процесс доказывания таких утечек, чтобы оспаривание штрафов со стороны не желающего платить их бизнеса не зависало в судах на годы.

Фото (с) личный архив Ашота Оганесяна

Следите за нашим Телеграм-каналом, чтобы не пропускать самое важное!

Поделиться: