Утечки данных: равнодушные закон, суд и бизнес

Утечек всё больше

С начала 2022 года в открытый доступ попало не менее 60 баз данных россиян. Произошли крупные утечки пользовательских данных сервисов доставки еды «Яндекс.Еды» и Delivery Club, оператора доставки СДЭК (дважды), интернета-магазин Ozon, Почты России, лаборатории «Гемотеста», образовательной платфоры GeekBrains, образовательной платформы университета «Иннополис», магазина «Вкусвилл», онлайн-кинотеатра «Старт». оператора Tele2, данных пользователей и сотрудников оператора «Ростелеком», сотрудников оператора «Билайн» и др. 

Позднее по утечкам был зафиксирован антирекорд. За одно только лето Сеть попало 140 баз данных российских компаний, из них в августе — 100, а общее же количество строк всех летних сливов составило 304 миллиона.

Закон (не)справляется

Во-первых, число киберугроз возросло на фоне «спецоперации». Во-вторых, персональные данные пользователей плохо защищены. Например, имеет место разрушение ИТ-инфраструктуры малого бизнеса, для поддержки которой активно использовались западные сервисы, или в принципе — наличие уязвимостей. Кроме того, если говорить о сервисах доставки еды, то они не относятся к категории критической инфраструктуры, финансовой или медицинской деятельности, и закон не обязывает защищать данные их пользователей сильнее, чем в других отраслях.

Наконец, наказания за утечки минимальны. Так, сервис «Яндекс.Еда» за две утечки дважды был оштрафован на минимальную сумму в 60 тыс. руб. Такое же взыскание получил и «Гемотест». Delivery Club оштрафовали на 80 тыс. «Образовательные технологии Яндекса» совсем недавно снова на 60 тыс.

Но главное — закон о персональных данных (ПД), который в должной мере не регулирует обращение с ПД. Эксперты «Роскомсвободы» и сторонние эксперты часто говорят об этом. Они отмечают следующие проблемы:

• Роскомнадзор не является независимым органом, который мог бы в полной мере контролировать защиту ПД («регуляторы просто отсутствую как явление»);

• сбор данных не происходит осознанно: часто непонятно, зачем нужны эти данные, сколько их нужно, кто их собирает, кто отвечает за их сохранность и т.д.;

• недостаточные для эффективной реализации закона о персональных данных (ПД) инструменты, соответствующей культуры в обществе и надзора над его исполнением.

Впрочем, государство видимо, наконец-то решило взяться за проблему. Так, 14 июля президент России Владимир Путин подписал поправки в закон «О персональных данных», согласно которым операторы должны:

• в течение 24 часов с момента выявления утечки информировать об утечках ПД Роскомнадзор;

• в течение 72 часов с момента выявления уведомить Роскомнадзор о результатах расследования утечки;

•  передавать данные об утечках в систему обнаружения кибератак (ГосСОПКА), то есть ФСБ;

• устранять нарушения законодательства, допущенные при обработке ПД, по уточнению, блокированию и уничтожению ПД;

• скорректировать требования к согласию на обработку ПД (ранее от такого согласия требовалось быть конкретным, информированным и сознательным, теперь оно должно быть ещё и предметным, а также однозначным);

• уточнить требования к содержанию документов, определяющих политику оператора в отношении обработки ПД, локальных актов по вопросам обработки ПД.

1 сентября поправки вступили в силу

Поправки (не)поправили

Хотя звучит всё красиво, эксперты в эффективности этих поправок не уверены.

«Это лучше, чем было до этого, но коренным образом ситуацию с утечками это не изменит, — оценивает новые нормы эксперт по защите персональных данных и соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян. — В первую очередь нужно стимулировать компании выполнять свои обязательства. Но стимулирование предполагает проактивную работу, профилактику инцидентов, а не борьбу с тем, что уже произошло. Закон же пока предлагает только реактивные действия».

С Мунтяном фактически соглашается и юрист «Роскомсвободы» Евгений Кравченко.

«Уведомлений, отчётов и прочего станет больше, но я не вижу реальной защиты от утечек персональных данных, — говорит Кравченко. — Обратите внимание, что, например, в пункте о том, что компания в случае утечки должна уведомить РКН, нигде не сказано об уведомлении пользователей, поэтому адресное уведомление от “Яндекс.Еды”, когда случилась утечка, — это их личная инициатива, за что можно поблагодарить “Яндекс”».

Другие юристы «Роскомсвободы» оценивают поправки тоже скептически.

«Новые меры неплохие, на мой взгляд, — говорит Анна Карнаухова. — Но поможет ли, допустим, оповещение об утечках в госорганы уменьшить те самые утечки? Не знаю, только тех, кто халатно относился изначально, штрафы, может быть, и напугают. А так в целом чем поможет незамедлительно их оповещение?»

Однако, возможно, операторов это на что-то да сподвигнет, говорит ещё один юрист «Роскомсвободы» Никита Истомин. 

«Более высокие штрафы будут стимулировать всех операторов ПД вкладываться как в инфраструктуру, то есть в техническую защиту информации, так и в организационно-правовые меры по защите персональных данных. Хотя не исключено что в некоторых случаях, для крупных компаний, даже повышенные необоротные штрафы не возымеют должного эффекта», — поясняет он и приводит несколько примеров из зарубежной практики.

Так, в Норвегии в 2021 году национальный регулятор оштрафовал на 10 млн. евро владельцев приложения для знакомств Grindr за отсутствие уведомления о фактически существующей передаче ПД третьим лицам. А в Великобритании в 2020 году компания British Airways получила штраф в 20 млн. фунтов стерлингов за невыполнение обязательств по обеспечению безопасности персональных данных (ПД): у неё были скомпрометированы данные около 429 тыс. клиентов и сотрудников авиаперевозчика.

«Я убежден, что самой эффективной формой ответственности является гражданско-правовая, когда компания платит миллионы пользователям за то, что подвела их доверие. И даже если будет объявлено банкротство компании, заявители имеют приоритетное право на получение денег. Для того, чтобы изменить систему не нужно даже менять законодательство. Нужно изменить судебную практику на уровне Верховного суда. Ну а пока сумма взыскиваемой компенсации не покрывает даже расходов на адвокатов, ничего не поменяется, вся система защиты приватности граждан будет напоминать карго-культ», — резюмировал глава юридической практики «Роскомсвободы» Саркис Дарбинян. 

Таким образом, какой-то мере эти положения и полезны, хотя они в меньшей степени направлены на ликвидацию причин и предотвращение самих таких ситуаций, отмечают эксперты.

Сама отрасль на обязательство о подключении к ГосСОПКА отрасль уже отреагировала отрицательно: это приведёт к финансовым и административным издержкам для бизнеса. 

Мотивация бизнеса и изменение судебной системы

Бизнес должен понять, что утечки ПД ведут к серьёзным последствиям для него, говорит Мунтян. Поэтому, по его мнению, ответственность должна быть не только для юридических лиц, но и для физических — должностных лиц в бизнесе. Кроме того, компаниям нужно помочь сформировать правильный подход к обеспечению информационной безопасности. 

«В Европе есть организация ENISA (Агентство Европейского союза по кибербезопасности), аналог российского ФСТЭК, которая выпускает огромное количество гайдов. Это полезнее требований выполнять огромное количество формальных процедур и отчитываться о том, как всё якобы хорошо», — отмечает юрист. 

Другой действенной мерой стало бы киберстрахование, продолжает эксперт: «Вот это могло бы быть интересно бизнесу. Страхование может покрывать как ущерб пользователей, так и самих компаний, инфраструктура которых страдает в результате атак».

Наконец, следует сделать более эффективной систему коллективных исков. 

«Ситуация с рассмотрением коллективных исков субъектов персональных данных, пострадавших от утечек, показала, что суды отказываются объединять заявления множества граждан, мотивируя это тем, что моральный вред у всех разный. Здесь есть над чем поработать».

Напомним, в первой декаде ноября Замоскворецкий районный суд Москвы частично удовлетворил иски пользователей сервиса «Яндекс.Еда», чьи персональные данные оказались опубликованы в интернете после масштабной утечки, случившейся в феврале этого года. Их интересы совместно представляют «Роскомсвобода» и «Сетевые свободы». 

Тринадцати пользователям присудили по 5000 рублей. Иски еще семерых заявителей отклонены (причины пока не названы). И ещё 728 заявителей по решению Мосгорсуда были не допущены к делу.

Юристы «Роскомсвободы» считают, что для коренного изменения практики необходимо:

1) ужесточить ответственность для виновных в утечке;

2) наладить работу судов по взысканию морального вреда пострадавшим от утечки;

3) кратно повысить штрафы для компаний.

Как защищать свою приватность самостоятельно?

Во-первых, по возможности, минимально оставлять где-либо свои персональные данные. Полезные правовые рекомендации читайте здесь, здесь, здесь и в целом — в нашем юридическом телеграм-канале. Также помните, что без вашего согласия любые ваши персданные (от ФИО до биометрии) собирать нельзя, а уже собранные данные вы можете отозвать. Шаблон отзыва тут. 

Во-вторых, используйте расширение для браузера ToSDR. Оно оценивает безопасность сайта по его политике конфиденциальности, сокращает пользовательские соглашения до тезисов и оценивает безопасность по пятибалльной шкале. С помощью расширения может так проверить любой интересующий сайт.

В-третьих, прокачивайте комплексную безопасность. 

Скрывать свои данные не обязательно, но защищать их надо обязательно. Зачем оберегать персональные данные, читайте в наших предыдущих карточках, почему важна приватность — на сайте нашего проекта Safe.