В компанию IDX иногда обращаются фирмы, которые сталкивались в своей практике с персональными данными, купленными на черном рынке, в даркнете. К сожалению, бизнес зачастую толкает на черный рынок недостаток источников легальных данных и затрудненность доступа к ним.
Практика показывает, что для компаний работа с украденными персональными данными или иными сведениями для идентификации физического лица увеличивает сразу несколько типов рисков: юридический, коммерческий, репутационный.
Коммерческие и репутационные риски
Любые данные, будь то персональные или вообще не относящиеся к личности человека, имеют ценность для бизнеса, если отвечают сразу трем характеристикам – актуальность, достоверность, полнота.
Данные, обладающие всеми этими свойствами, бывают на черном рынке очень редко. Но если даже вдруг в даркнете появился большой массив полноценных данных (допустим, это совершенно свежая база какого-либо солидного оператора персональных данных), никто никогда не сможет гарантировать их качество. Оператор, конечно, будет заинтересован в быстрейшем уничтожении последствий утечки и никогда не пойдет на контакт с покупателем из даркнета. А верить продавцу ворованных данных совсем нелогично.
Допустим, компания купила в даркнете некоторую базу. Скорее всего, неактуальную и/или недостоверную. Зачем она это сделала?
В России за последний год выросло количество жалоб на незаконное использование персональных данных. В 2018 году Роскомнадзор рассмотрел 40 тысяч жалоб - более чем на 7 процентов больше, чем годом ранее.
Первая цель — база потенциальных клиентов
Первая цель – использовать ее как базу потенциальных клиентов. Но «холодные» звонки с неизвестных номеров, да еще с неправильным коммерческим предложением могут только повредить бизнесу. Актуальный пример из мира автострахования. Многие владельцы автомобилей сталкивались со звонками от страховых агентов, которые предлагали «лучшие условия» для автомобиля, который давно продан. Естественно, такие контакты с потенциальным клиентом могут вызвать только раздражение (а иногда и жалобу в Роскомнадзор, но об этом ниже). Использование любых данных, происхождение которых вы не можете объяснить клиенту, наносит ущерб репутации компании.
Вторая цель — углубленное знание о клиенте
Вторая цель покупки – компания хочет знать о клиенте больше. Ей нужна информация, ездит ли он за границу, имеет ли авто и т.д. Однако продавец данных на черном рынке не может предоставить актуальную собираемую информацию о клиентах. Если компании важны косвенные признаки о благосостоянии и образе жизни клиента, то ей важна актуальность информации. Не потерял ли он работу три месяца назад, может ли он ездить за границу именно сейчас, а еще лучше – купил ли он уже билет на самолет (например, чтобы продать страховку)? Качество собираемой информации напрямую влияет на эффективность маркетинговых кампаний и прогнозирование поведения клиентов. А для этого необходимы не сомнительные источники, а доступ к действительно актуальным, а еще лучше эталонным базам.
Третья цель — борьба с фродом
Третья цель – борьба с фродом, проверка информации о клиенте (например, паспортных данных). Здесь работают только эталонные источники. Компании необходим безопасный доступ к информации, который может обеспечить только легальный поставщик. Компании нужны гарантии достоверности, а их в даркнете никто не дает.
Сервис IDX обеспечивает проверку данных физических лиц в эталонных источниках. Протестировать его можно прямо сейчас.
Юридические риски
Приобретение на черном рынке сведений для идентификации физического лица несет и правовые риски. Работа с нелегальными источниками, которые торгуют личной информацией граждан, создает цепочку юридических нарушений.
В настоящий момент законодательство не устанавливает прямой ответственности за покупку данных, добытых незаконным путем. В уголовном законодательстве существует норма за скупку краденого, но так как вопрос об отнесении информации к имуществу не решен, то действие этой статьи не распространяется на покупку данных.
Поэтому основные риски приобретения баз данных на черном рынке состоят в том, что такие персональные данные заведомо обрабатываются с неустранимыми нарушениями. По закону оператор (компания, которая обрабатывает персональные данные) должен удостовериться в правомерности получения данных их продавцом, то есть покупая незаконно собранные персональные данные, оператор осознанно принимает на себя риски. По закону компания обязана защищать собираемую информацию и обеспечивать прозрачность ее использования.
За нарушение правил обработки персональных данных установлен целый спектр видов административной ответственности. Безусловно, продавец данных, который торгует личной информацией без согласия субъектов, нарушает законодательство, но и покупатель таких данных также несет ответственность. При этом, если в ходе проверки будет выявлено несколько нарушений, к ответственности привлекут за каждое из них, в том числе, отдельно по каждому «эпизоду». Также к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо – работника организации (ч. 3 ст. 2.1 КоАП РФ).
Размеры штрафов и виды ответственности
За нарушение правил обработки персональных данных установлен целый спектр видов административной ответственности. Штраф до 75 000 рублей налагается за обработку данных без согласия пользователей.
Основной вид административного наказания за нарушение законодательства о персональных данных - штраф, размер которого зависит от конкретного нарушения. Максимально возможный - 75 000 руб. Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.11 КоАП РФ).
Как мы уже указали, статья КоАП позволяет привлечь оператора за нарушение законодательства в отношении каждого субъекта персональных данных отдельно. Так, владелец базы на 10 000 строк может быть оштрафован на 75 000 000 рублей. Это означает, что покупка базы данных может обернуться колоссальными финансовыми потерями. Хотя работники Роскомнадзора утверждают, что не планируют применять норму таким образом, но подтверждают, что закон их в этом не ограничивает.
Ниже приведены виды административных взысканий, соответствующие ситуации покупки данных на черном рынке.
За нарушение правил обработки персональных данных:
- в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ) – штраф для организации до 50 000 руб.;
- в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ) - штраф для организации до 50 000 руб.;
- без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ) штраф для организации – до 75 000 руб.
За невыполнение требований по защите персональных данных:
- если вы не опубликуете политику в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ) - штраф для организации – до 30 000 руб.;
- если вы не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ) - штраф для организации - 50 000 руб.;
За неисполнение обязанностей при взаимодействии с Роскомнадзором:
Операторы персональных данных обязаны исполнять требования Роскомнадзора — органа, уполномоченного защищать права субъектов персональных данных согласно Федеральному закону от 27 июля 2006 года № 152-ФЗ. Нарушение этих обязанностей влечет значительные административные и уголовные санкции.
Административная ответственность
За неполное или несвоевременное представление запрошенной Роскомнадзором информации предусмотрены штрафы: на должностных лиц — от 300 до 500 рублей; на юридических лиц — от 3 000 до 5 000 рублей (статья 19.7 КоАП РФ).
За неисполнение в установленный срок законного предписания Роскомнадзора об устранении выявленных нарушений при обработке персональных данных: для должностных лиц — от 1 000 до 2 000 рублей или дисквалификация до трёх лет; для юридических лиц — от 10 000 до 20 000 рублей (статья 19.5 КоАП РФ).
За препятствие проведению проверки или уклонение от неё: на должностных лиц — от 2 000 до 4 000 рублей; на юридических лиц — от 5 000 до 10 000 рублей (статья 19.4.1 КоАП РФ).
За отказ уточнить, заблокировать или удалить неполные, неточные, устаревшие или незаконно полученные персональные данные: на должностных лиц — от 8 000 до 20 000 рублей; на юридических лиц — размер штрафа определяется в зависимости от обстоятельств (часть 5 статья 13.11 КоАП РФ).
Уголовная ответственность
Отдельно укажем на перспективу уголовной ответственности. Действия лица, нарушившего правила работы с персональными данными, могут образовать состав иного преступления, в частности:
- незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
- неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ).
- Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения (ст. 272.1 УК РФ).
Конечно, к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Незаконный продавец данных, который систематически торгует личной информацией, рискует попасть под уголовное преследование. Однако, привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).
Правоприменительная практика
Правоприменительная практика начинает накапливаться. За волной новостей об утечках данных теряются сообщения о наказании правонарушителей. Деятельность продавцов данных все чаще становится предметом расследований, а контроль за собираемой информацией ужесточается. Тем не менее, случаи, когда продавцов персональных данных ловят и даже судят, есть. Дел становится все больше, и они становятся все громче.
Выводы
Выбор в пользу легальных источников информации очевиден. Если вам не хватает сведений для идентификации физического лица, не стоит искать их в даркнете. Сервис IDX – удобный, простой и полностью легитимный способ проверки персональных данных для любого бизнеса.
