Госслужащие и сотрудники коммерческих структур, которые продают персональные данные, совершают одинаковое по сути правонарушение, но зачастую несут разную ответственность. Отдел аналитики «СёрчИнформ» изучил последние инциденты, связанные с незаконной торговлей конфиденциальными данными, и иллюстрирует на примерах, когда и почему повышаются шансы привлечь виновных к ответственности.
Во Владимире суд наказал посредника, который передавал взятки майору полиции в обмен на информацию об умерших. Обвиняемый обещал руководителю «Владимирской ритуальной компании», что поможет получать данные о зарегистрированных случаях смерти. За одно сообщение директор ритуальной фирмы платил четыре-пять тысяч рублей, из которых тысячу посредник оставлял себе в качестве оплаты услуг. За пять месяцев 2017 года, с марта по июль, полицейский получил за «слив» информации 94 тысячи рублей. Посредника приговорили к трем годам условно и штрафу 188 тысяч рублей. Бывшему полицейскому суд назначил наказание 3 года и 1 месяц в колонии строгого режима, предпринимателю — 2 года и 6 месяцев условно, а также штраф 470 тысяч рублей.
Разглашение полицейскими конфиденциальной информации о факте смерти — проблема федерального масштаба. Размер вознаграждения за персональные данные умершего и контакты родственников зависит от региона. В Уфе, например, стоимость информации о факте смерти достигает 10 тысяч рублей. Такую сумму — её получают и полицейские, и врачи — на недавней встрече с журналистами подтвердил руководитель государственного комбината спецобслуживания. Однако в той же службе скорой помощи Уфы не могут найти повод, чтобы наказать сотрудников за «слив» данных ритуальным фирмам. Отвечая на вопросы журналистов, глава Республиканской станции скорой медицинской помощи отметил, что «это морально-этический вопрос», который «находится не в правовом поле».
Схожая ситуация и с полицейскими. Только сложность заключается в том, чтобы доказать факт передачи информации и, как следствие, привлечь к ответственности. В Удмуртии отдел собственной безопасности МВД по республике за последние три года получил 224 жалобы на «слив» информации в ритуальные службы. Однако установить источник разглашения данных и наказать виновных не смогли ни разу. В полиции обратили внимание, что сообщения о нарушениях поступали по электронной почте или по телефону доверия МВД. Ни один заявитель не явился лично, даже после просьбы дать подробные разъяснения по поводу инцидента. Таким образом, у полицейских оказывалось недостаточно вводных для качественной проверки.
Другое дело, когда речь идет о разглашение банковской или коммерческой тайны: в поимке инсайдера заинтересован бизнес, а для передачи конфиденциальных данных используют информационные технологии, что упрощает сбор доказательств. В Ульяновске сотрудники подразделения «К» регионально управления МВД пресекли торговлю персональными данными клиентов банка. Подозреваемому предъявили обвинение по статье 183 «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».
Следствие установило, что сотрудник ульяновского филиала банка продавал по объявлению информацию, составляющую банковскую тайну. Помимо паспортных данных, специалист службы поддержки передавал заказчику через посредника номера банковских карт, сведения о состоянии счетов и кодовые слова.
Заказчиком оказался житель Санкт-Петербурга. Он опубликовал в интернете объявление, в котором обещал вознаграждение за данные клиентов банка. Заказчик, посредник и банковский клерк общались в мессенджерах. Сотрудникам одела «К» удалось установить несколько эпизодов незаконного разглашения банковской тайны. Участникам преступной группы грозит до пяти лет тюрьмы.
За аналогичное преступление — продажу данных клиентов — украинский суд приговорил бывшего сотрудника «Новой почты» к трем годам лишения свободы с испытательным сроком два года. Его обвинили во взломе компьютерных сетей и незаконном сбыте информации с ограниченным доступом.
Следствие установило, что оператор почтового отделения лишился доступа к клиентской базе после увольнения, однако оставался участником закрытой группы компании в социальной сети. Чтобы получить доступ к базе, он узнал логин и пароль у другого участника группы — действующего сотрудника. После заходил с личным ноутбуком в зону действия Wi-Fi «Новой почты» и скачивал нужную информацию. Объявления о продаже клиентских баз он размещал в социальной сети, предположительно, в «Одноклассниках» и «ВКонтакте». Схема действовала в течение полугода.
«Глобальная причина различий, которые мы наблюдаем между государственными и коммерческими структурами, в том, что внутри организаций, особенно социальной сферы, зачастую нет ответственного за защиту данных, вопросами информационной безопасности никто всерьез не занимается. Сообщения о том, что провели расследование, установили виновного в утечке данных и привлекли его к суду, мы видим в СМИ благодаря содействию организации, где произошел инцидент. Когда организация не хочет или не может участвовать в расследовании, потому что не располагает технологиями, нет ни виновных, ни наказания, — прокомментировал ведущий аналитики „СёрчИнформ“ Алексей Парфентьев. — Сдвинуть ситуацию с мертвой точки помогут изменения нормативной базы, когда наказывать и штрафовать станут не за факт утечки данных, а по результатам аудита. Другими словами, нужны превентивные меры. Пока у государства нет эффективных рычагов. Привлечь к ответственности за разглашение, продажу или кражу персональных данных чаще всего удается коммерческим структурам, которые финансово заинтересованы в сохранении конфиденциальной информации, и внедряют технологии защиты».