USD 73.98₽
EUR 80.54₽

Неизвестный потребитель. Новый закон поборется с утечками личных данных граждан.

25 июня 2021

Российское правительство внесло в Госдуму законопроект, который обяжет организации заключать и исполнять договор с потребителем, даже если клиент отказывается предоставлять свои персональные данные. За понуждение введут административную ответственность. Подробности в материале Игоря Прусакова.

Возможно, что уже весной следующего года за необоснованное требование персональных данных будут штрафовать. Новый законопроект, разработанный Роспотребнадзором, запретит отказывать гражданам в заключении договора или оказании услуги, если они не желают раскрывать свои персональные данные.

Закон оформлен в виде поправок в Кодекс об административных правонарушениях, а именно в статью 14.8 КоАП, которая устанавливает санкции за нарушение прав потребителей. Новая часть запретит отказывать в заключении, исполнении, изменении или расторжении договора из-за того, что клиент не предоставил персональные данные, если их передача не предусмотрена законом. Предполагается, что за нарушение введут штраф в размере до 10 000 рублей для должностных лиц и до 50 000 рублей для юридических.

Авторы поправки отмечают, что сбор и обработка персональных данных граждан организациями зачастую противоречит нормам российского законодательства, а объём запрашиваемой информации избыточен. В Роспотребнадзоре считают, что защищают права потребителей: «Нынешние положения Закона «О защите прав потребителей» и Кодекс Российской Федерации об административных правонарушениях не предусматривают ответственности за подобные нарушения. Предлагаемый законопроект призван ограничить практику принудительного предоставления персональных данных потребителями для целей, не связанных с заключением, изменением, расторжением и исполнением договора купли-продажи, оказания услуг (выполнения работ), путём установления административной ответственности».

Закон окажется особенно полезным в интернете. Многие сайты собирают персональную информацию пользователей, которую затем (в виде целых баз данных), можно обнаружить в продаже на чёрном рынке.

Как воруют личную информацию

Чаще всего информацию крадут инсайдеры, сотрудники с доступом к системам и базам данных. Поэтому сначала злоумышленники ищут сообщников внутри организаций. Завербованные инсайдеры могут «слить» базу данных целиком или «пробивать» нужных людей по запросу время от времени. По данным компании «СёрчИнформ», программы для контроля действий сотрудников, которые работают с персональными данными, стоят только в трети крупных организаций, а в малом и среднем бизнесе этот показатель ещё меньше.

Мошенники могут использовать сотрудников организации и без их воли. Например, развернуть на них фишинговую атаку, заставить инсайдера скачать шпионское программное обеспечение и с его помощью получить учётные данные к ИТ-инфраструктуре.

Внутренние инциденты сочли самыми опасными 80% опрошенных «СёрчИнформ» респондентов. Руководитель отдела аналитики этой компании Алексей Парфентьев считает, что проблему представляет халатное отношение к данным: «Распространённый способ получить информацию – это даже не «кража со взломом», а сбор того, что «плохо лежит». Персональные данные сейчас собирает и хранит едва ли не каждая организация, и бывает достаточно найти плохо защищённые хранилища. Сплошь и рядом в компаниях забывают о настройках безопасности, обновлениях, используют уязвимые сервисы, в результате базы лежат, по сути, в открытом доступе. Чего стоят многочисленные новости о вновь и вновь найденных незащищенных серверах на движке ElasticSearch. Злоумышленники пользуются известными уязвимостями сервисов для взлома баз данных. В ситуации успешной цифровизации это становится ещё более актуально. Например, из-за бума онлайн-торговли ритейлу приходилось массово внедрять ИТ-решения. Разработчики сайтов интернет-магазинов часто плохо разбираются в защите данных и делают сервисы по одному шаблону. В результате у хакеров на выбор множество онлайн-магазинов с похожими уязвимостями, которые несложно взломать».

В даркнете можно отыскать объявления о продаже множества различных баз персональных данных. Аноним продаст такую информацию и даже не поинтересуется кто вы и зачем она вам нужна. Более того, базы персональных данных можно получить и бесплатно: через некоторое время после появления информации на чёрном рынке, какой-нибудь из покупателей выкладывает её в общий доступ.

Руководитель российского исследовательского центра «Лаборатории Касперского» Мария Наместникова рассказывает, что за данными пользователей в Интернете ведётся непрерывная охота: «Зачастую люди сами разглашают информацию о себе, заполняя различные регистрационные формы. Когда они посещают какой-либо сайт, то оставляют, своего рода, цифровой след — эти данные тоже могут быть актуальными для рекламодателей. Социальные сети также передают ту или иную информацию для выдачи более релевантной рекламы пользователям. В даркнете выставляются на продажу медицинские карты, сканы водительского удостоверения, паспорта (вместе с фотографией), ИНН, СНИЛС, данные банковских карт, учётные данные интернет-банков, информация для доступа к сервисам по подписке (Netflix, Twitch, PornHub и так далее). Мы выяснили, что в даркнете есть данные, полученные злоумышленниками в результате утечки из сервиса для знакомств. Такая база содержала информацию о пользователях: ники и адреса электронной почты. Среди них, как оказалось, были представители государственных структур, которые регистрировались, используя рабочую почту».

Помимо взлома и действий инсайдеров, пользователи иногда и сами вредят себе овершерингом, то есть, добровольно выкладывают в открытый доступ чрезмерную информацию о своей личности. Злоумышленники используют данные для шантажа, телефонного мошенничества, фишинга, подделки документов, отмывания денег, крупных махинаций или даже кражи цифровой личности.

«Существует и такое явление, как доксинг», - рассказывает Мария Наместникова, - «Это раскрытие в сети идентифицирующей информации о ком-либо, такой как настоящее имя, домашний адрес, место работы, номер телефона, финансовая и другая личная информация. Впоследствии эти данные распространяются без разрешения жертвы».

Узнать, утекли данные в даркнет или нет, практически невозможно, если это не элементарные логин и пароль от почты. А проверить, есть ли такая информация в общем доступе, можно с помощью специальных решений, таких, например, как сайт haveibeenpwned.com. Для защиты от злоумышленников, эксперты рекомендуют менять свои пароли как можно чаще.

Сегодня ведущие специалисты отрасли заняты обеспечением защиты биометрических образцов данных. Это особенно актуально, ведь в ближайшие годы бумажные паспорта россиян собираются менять на смарт-карты с биометрией. Технологии изготовления дипфейков становятся всё искуснее, а нейросети учатся синтезировать не только чужой образ, но и речь. Поэтому опасность фальсификаций в этой сфере очень высока.


Бреши в системе

Данные россиян, в основном, утекают через четыре информационных дыры. Во-первых, это базы сотовых операторов и телекоммуникационных компаний. В огромных штатах этих фирм доступ к данным имеют слишком многие сотрудники. Во-вторых, это банки. В этой сфере информация утекает на этапе сбора данных потенциальных клиентов через сторонние сайты, размещающие рекламу услуг и через тех же инсайдеров.

Третья гигантская брешь находится в государственных сервисах и компаниях. Их программное обеспечение не идеально и утечки возможны посредством взлома ресурсов. В-четвёртых, персональные данные получают через сайты частного бизнеса, которые очень часто тоже недостаточно защищены.

Объявления о продажах персональных данных российских пользователей Сети встречаются постоянно. Как только становится известно, что кто-то собирает базу, на неё тут же начинается охота. Причём, для злоумышленников без разницы государственная это система или коммерческая, взломать и выкрасть данные пытаются у всех. Например, недавно на чёрном рынке появилась база конфиденциальных данных сотен российских компаний из-за халатного использования программы для управления проектами Trello.


Информационная гигиена

Опрошенные konkir.ru эксперты дали советы, как обезопасить себя от перехвата конфиденциальных данных. Пока не действует разработанный Роспотребнадзором закон, потребителю лучше отказаться от предоставления своих данных, если услуга не связана с наличием у продавца такой информации о потребителе. Не нужно лишний раз раскрывать данные о себе во время любой сделки купли-продажи: при покупке продуктов, приобретении одежды, бытовой техники, билета в кино, заказе еды в кафе и ресторанах, в общем, везде, где нет такой необходимости.

Существуют базовые правила информационной безопасности, придерживаться которых необходимо каждому потребителю, чтобы свести риск утечки своих персональных данных к минимуму. Например, во время онлайн-шопинга рекомендуется выбрать одну банковскую карту для всех операций, чтобы упростить проверку состояния счёта.

Уведомления о каждой покупке должны приходить в виде СМС или по электронной почте. По возможности, при совершении платежей онлайн не создавайте учётные записи с данными о карте, рекомендует руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев: «Идеальный вариант – завести отдельную виртуальную карту для покупки в интернет-магазинах. Когда понадобятся деньги, переводите туда определённую сумму с основной карты и рассчитывайтесь на сайте».

Все пароли должны быть уникальными и надёжными, чтобы исключить доступ злоумышленников сразу к нескольким учётным записям через одни и те же данные. Будет полезным убедиться, что соединение с сайтом безопасно, для чего достаточно заглянуть в адресную строку браузера: если там есть изображение «замочка», а адрес начинается с «https», а не «http», это означает, что транзакция шифруется. Впрочем, в этом случае защита тоже не стопроцентная, предупреждает руководитель российского исследовательского центра «Лаборатории Касперского» Мария Наместникова: «Мы советуем делать покупки на сайте компаний, которые вам знакомы. Если же нужно совершить покупку в новом магазине, обязательно посмотрите отзывы на него в интернете, убедитесь, что магазин существует давно (а не все отзывы написаны за последние два дня) и что нет отзывов, говорящих о мошенничестве со стороны сайта. Совершать онлайн-покупки стоит при подключении к безопасной сети, никогда — через публичные Wi-Fi сети. Конечно, нужно регулярно обновлять программное обеспечение. И, наконец, не лишним будет использование защитного решения, которое обеспечит безопасность всех устройств».

Если персональные данные необходимы для совершения сделки, например, доставка продуктов, банковские услуги, страхование и другие подобные случаи, где продавцу понадобятся паспортные данные потребителя, адрес, номер телефона, ИНН, СНИЛС или фотография -  проверяйте партнёра.

Разделяйте информацию на ту, которую можно быстро поменять (например, электронная почта и телефонный номер) и на ту, которую изменить сложно или невозможно (имя, адрес, возраст, пол, номер паспорта). Не предоставляйте информации организациям и лицам, которые не вызывают доверия, особенно посредством телефонной связи. Уточняйте и задавайте вопросы: как и кем будут использованы данные, где они будут храниться, как можно запросить и проверить их удаление.


Неидеальный закон

Новый закон существенно облегчит жизнь потребителям и обозначит право граждан на защиту персональной информации. Впрочем, эксперты считают, что и его можно улучшить, говорит адвокат Елена Даниловская: «Считаю, что практика в скором времени сделает возможным корректировку по тем персональным данным, которые действительно необходимы в каждом конкретном случае. Предоставление своих персональных данных должно быть описано в законе и запрашивающая сторона должна указать на свое право заказчику».

В «СёрчИнформ» признают законопроект полезным, но не совершенным. Впрочем, само появление общественной дискуссии на тему защиты персональных данных там уже считают хорошей новостью. Алексей Парфентьев видит решение проблемы утечки персональной информации в уменьшении количества баз данных и операторов с доступом к конфиденциальной информации: «Это нужный законопроект, который поможет избегать излишнего сбора данных, особенно теми компаниями, которые в силу разных обстоятельств не могут обеспечить защиту информации. В небольших компаниях чаще всего нет жестких регламентов, они могут собирать данные «на всякий случай» и могут не догадываться, что произошла утечка. Однако более верным решением было бы в целом минимизировать количество операторов баз данных, вовсе сняв с небольших компаний необходимость сбора и хранения персонифицированной информации. Решением этой проблемы могут стать инициативы наподобие «Цифрового профиля гражданина», где происходит лишь информационное взаимодействие с третьей стороной, без необходимости самостоятельного хранения и защиты этих данных. Есть масса случаев, когда передача персональных данных требуются по закону. Продавец требует паспорт при оформлении возврата товара или выигрыша в конкурсе. Однако подобные платформы позволят не хранить сотни копий баз с персональными данными в разных местах, а лишь обращаться к общему, защищенному хранилищу».

Пока закон не принят, у потребителей есть возможность бороться с распространением информации о себе только после того, как утечка уже произошла. Говорит генеральный директор A&B Legal Анатолий Бикеев: «В случае, если гражданин считает, что его персональные данные (в том числе данные о составе семьи, месте работы и прочие) незаконно разглашены или юридическим лицом, или физическим лицом, следует обратиться с заявлением в правоохранительные органы и суд».

До принятия законопроекта в Роспотребнадзоре предлагают своё решение вопроса о принуждении к передаче личной информации: «Если человек столкнулся с тем, что его вынуждают передать персональные данные, не связанные с исполнением договора, и отказывают продать товар или оказать услугу без таких данных, то следует зафиксировать факт отказа (например, направив претензию в адрес исполнителя, задав уточняющие вопросы в мессенджерах или сделав скриншот общения со службой поддержки) и обратиться в Роспотребнадзор с жалобой на такие действия».

В настоящее время законопроект находится на рассмотрении Госдумы, а это значит, что его принятие можно ожидать не раньше осени, когда соберётся новый состав нижней палаты парламента.


Игорь Прусаков

Популярные