В компанию IDX иногда обращаются фирмы, которые сталкивались в своей практике с персональными данными, купленными на черном рынке, в даркнете. К сожалению, бизнес зачастую толкает на черный рынок недостаток источников легитимных данных и затрудненность доступа к ним.
Практика показывает, что для компаний работа с украденными персональными данными или иными сведениями для идентификации физического лица увеличивает сразу несколько типов рисков: юридический, коммерческий, репутационный.
Коммерческие и репутационные риски
Любые данные, будь то персональные или вообще не относящиеся к личности человека, имеют ценность для бизнеса, если отвечают сразу трем характеристикам – актуальность, достоверность, полнота.
Данные, обладающие всеми этими свойствами, бывают на черном рынке очень редко. Но если даже вдруг в даркнете появился большой массив полноценных данных (допустим, это совершенно свежая база какого-либо солидного оператора персональных данных), никто никогда не сможет гарантировать их качество. Оператор, конечно, будет заинтересован в быстрейшем уничтожении последствий утечки и никогда не пойдет на контакт с покупателем из даркнета. А верить продавцу ворованных данных совсем нелогично.
Допустим, компания купила в даркнете некоторую базу. Скорее всего, неакутальную и/или недостоверную. Зачем она это сделала?
В России за последний год выросло количество жалоб на незаконное использование персональных данных. В 2018 году Роскомнадзор рассмотрел 40 тысяч жалоб - более чем на 7 процентов больше, чем годом ранее.
Первая цель – использовать ее как базу потенциальных клиентов. Но «холодные» звонки с неизвестных номеров, да еще с неправильным коммерческим предложением могут только повредить бизнесу. Актуальный пример из мира автострахования. Многие владельцы автомобилей сталкивались со звонками от страховых агентов, которые предлагали «лучшие условия» для автомобиля, который давно продан. Естественно, такие контакты с потенциальным клиентом могут вызвать только раздражение (а иногда и жалобу в Роскомнадзор, но об этом ниже). Использование любых данных, происхождение которых вы не можете объяснить клиенту, наносит ущерб репутации компании.
Вторая цель покупки – компания хочет знать о клиенте больше. Ей нужна информация, ездит ли он за границу, имеет ли авто и т.д. Но покупка данных на черном рынке не сможет ответить на этот вопрос. Если компании важны косвенные признаки о благосостоянии и образе жизни клиента, то ей важна актуальность информации. Не потерял ли он работу три месяца назад, может ли он ездить за границу именно сейчас, а еще лучше – купил ли он уже билет на самолет (например, чтобы продать страховку)? А для этого необходимы не сомнительные источники, а доступ к действительно актуальным, а еще лучше эталонным базам.
Третья цель – борьба с фродом, проверка информации о клиенте (например, паспортных данных). Здесь реально работают только эталонные источники. Компании нужны гарантии достоверности, а их в даркнете никто не дает.
Наш сервис IDX обеспечивает проверку данных о физических лицах в эталонных источниках. Протестировать наш сервис, чтобы сразу почувствовать разницу с даркнетом, можно прямо сейчас.
Юридические риски
Приобретение на черном рынке сведений для идентификации физического лица несет и правовые риски. Впрочем, как и многие другие юридические аспекты из мира персональных данных, формулировки тут настолько размыты, что не всегда возможна однозначная интерпретация.
В настоящий момент законодательство не устанавливает прямой ответственности за покупку данных, добытых незаконным путем. В уголовном законодательстве существует норма за скупку краденого, но так как вопрос об отнесении информации к имуществу не решен, то действие этой статьи не распространяется на покупку данных.
Поэтому основные риски приобретения баз данных «на черном рынке» состоят в том, что такие персональные данные заведомо обрабатываются с неустранимыми нарушениями. По закону оператор (компания, которая обрабатывает персональные данные) должен удостовериться в правомерности получения данных их продавцом, то есть покупая незаконно собранные персональные данные, оператор осознанно принимает на себя риски.
За нарушение правил обработки персональных данных установлен целый спектр видов административной ответственности. При этом, если в ходе проверки будет выявлено несколько нарушений, к ответственности привлекут за каждое из них, в том числе, отдельно по каждому «эпизоду». Также к ответственности за нарушение могут одновременно привлечь и организацию, и виновное физическое лицо – работника организации (ч. 3 ст. 2.1 КоАП РФ).
За нарушение правил обработки персональных данных установлен целый спектр видов административной ответственности. Штраф до 75 000 рублей налагается за обработку данных без согласия пользователей.
Основной вид административного наказания за нарушение законодательства о персональных данных - штраф, размер которого зависит от конкретного нарушения. Максимально возможный - 75 000 руб. Он предусмотрен для организации за обработку персональных данных без письменного согласия гражданина, когда такое согласие требуется, или за отсутствие в нем всех необходимых сведений (ч. 2 ст. 13.11 КоАП РФ).
Как мы уже указали, статья КоАП позволяет привлечь оператора за нарушение законодательства в отношении каждого субъекта персональных данных отдельно. Так, база на 10 000 строк может быть оштрафована на 75 000 000 рублей. Хотя работники Роскомнадзора утверждают, что не планируют применять норму таким образом, но подтверждают, что закон их в этом не ограничивает.
Ниже приведем виды административной ответственности актуальные к ситуации купленных на черном рынке данных.
За нарушение правил обработки персональных данных:
-
в не предусмотренных законом случаях (ч. 1 ст. 13.11 КоАП РФ) – штраф для организации до 50 000 руб.;
-
в целях, несовместимых с целями сбора (ч. 1 ст. 13.11 КоАП РФ) - штраф для организации до 50 000 руб.;
-
без согласия, когда оно требуется, или с согласия, но с неполными сведениями (ч. 2 ст. 13.11 КоАП РФ) штраф для организации – до 75 000 руб.
Невыполнение требований по защите персональных данных:
- o не опубликуете необходимые документы о вашей политике в отношении обработки персональных данных и о том, какие требования по их защите вы реализуете, или не обеспечите иным образом неограниченный доступ к ним (ч. 3 ст. 13.11 КоАП РФ) - штраф для организации – до 30 000 руб.;
-
o не обеспечите сохранность данных при их неавтоматизированной обработке, если это повлечет неправомерный или случайный доступ к ним, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия (ч. 6 ст. 13.11 КоАП РФ) - штраф для организации - 50 000 руб.;
Неисполнение обязанностей при взаимодействии с Роскомнадзором:
- не представите информацию, запрошенную им в порядке ч. 3 ст. 23 Закона о персональных данных (ст. 19.7 КоАП РФ);
- не выполните в срок законное предписание Роскомнадзора об устранении нарушений (ч. 1 ст. 19.5 КоАП РФ);
- будете препятствовать проведению проверки либо уклоняться от нее (ч. 1 ст. 19.4.1 КоАП РФ);
- не выполните требование Роскомнадзора об уточнении, блокировании или уничтожении персональных данных, если они неполные, неточные, устарели, были незаконно получены или не являются необходимыми для целей обработки (ч. 5 ст. 13.11 КоАП РФ).
Отдельно укажем на перспективу уголовной ответственности. Хотя специальной нормы об ответственности за нарушение законодательства о персональных данных в Уголовном кодексе РФ нет, действия лица, нарушившего правила работы с персональными данными, могут образовать состав иного преступления, в частности:
- за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную и семейную тайну, без его согласия (ч. 1 ст. 137 УК РФ);
- неправомерный доступ к компьютерной информации, в результате которого произошло уничтожение, блокирование, модификация (изменение) или копирование информации (ч. 1 ст. 272 УК РФ).
Конечно, к уголовной ответственности могут привлечь только физическое лицо (ст. 19 УК РФ). Однако, привлечение виновного физического лица к уголовной ответственности не освобождает от административной ответственности организацию (ч. 3 ст. 2.1 КоАП РФ).
Правоприменительная практика начинает накапливаться. За волной новостей об утечках данных, теряются сообщения о наказании правонарушителей. Тем не менее, случаи, когда продавцов персональных данных ловят и даже судят, есть). Дел становится все больше, и они становятся все громче.
Выбор в пользу легальных источников информации очевиден. Если вам не хватает сведений для идентификации физического лица, не стоит искать их в даркнете. Сервис IDX (iidx.ru) – удобный, простой и полностью легитимный способ проверки персональных данных для любого бизнеса.