В профессиональном издании "Адвокатская Газета" опубликована статья Адвоката, советника уголовно-правовой и общей практики Консалтинговой группы "Альянс Лигал" Елены Михайловской.
В статье рассматривается проблема утечки персональных данных и случаи, когда потерпевшими от киберпреступлений являются юридические лица.
Анализируется конкретный кейс, который является одним из немногих примеров успешного доказывания отсутствия вины оператора в утечке персональных данных.
Внесение законопроектов, предусматривающих усиление административной и уголовной ответственности за правонарушения и преступления, связанные с утечкой персональных данных, по мнению автора, должно стать сигналом для бизнеса и специалистов по информационной безопасности к адаптации и дополнительному укреплению систем защиты персональных данных.
Объектами совершения киберпреступлений могут быть как материальные, так и нематериальные активы государственных и коммерческих организаций. К наиболее чувствительным из нематериальных активов, а до последнего времени и наиболее уязвимым, следует отнести массивы персональных данных.
В целом утечка персональных данных – колоссальная проблема на сегодняшний момент. Если говорить о середине 2023 г., то порядка 230 000 000 записей о личной информации граждан в той или иной степени размещены в интернете, и при этом они актуальны. Злоумышленники активно используют искусственный интеллект для корреляции этих данных между собой, выстраивая определенный анализ о том, что же собой представляет тот или иной гражданин и как можно на это воздействовать. А утечка данных о клиентах прежде всего подрывает доверие к оператору персональных данных, ставя пятно на его деловой репутации.
Зачастую потерпевшими от киберпреступлений (ст. 159, 159.3, 159.6, 272, 273 УК РФ) становятся юридические лица. Потерпевшие действуют по-разному, в зависимости от последствий, которые повлекло киберпреступление. Если ущерб минимален, то просто устраняются последствия: переустанавливается операционная система, обновляется антивирус, модернизируется политика информационной безопасности в компании. Если речь идет о существенном ущербе, выраженном в денежном эквиваленте или в ценности информации, к которой был получен незаконный доступ, предпринимаются попытки обращения в правоохранительные органы с заявлением о совершении преступления, чтобы установить преступников, попытаться возместить ущерб, а также избежать иных возможных рисков.
Кейс потерпевшего от киберпреступления юридического лица
Итак, рассмотрим кейс в отношении юридического лица (условно назовем его ООО «Н»), который наглядно демонстрирует сказанное.
Неустановленные лица с помощью компьютерной программы осуществили неправомерный доступ к сетевой инфраструктуре ООО «Н», в частности, к виртуальной машине ЛЛЛ, имеющей право доступа к системе управления базами данных ООО «Н» и размещенной в центре обработки данных указанного Общества. В результате было осуществлено копирование охраняемой законом информации – персональных данных клиентов компании.
В результате совершения преступления в руки злоумышленников попал массив, содержащий персональные данные всех клиентов ООО «Н», после чего он был выложен в свободный доступ в Telegram-канале «А».
В полицию было подано заявление, по итогу рассмотрения которого возбуждено уголовное дело по признакам преступления, предусмотренного ч. 3 ст. 272 УК РФ, ООО «Н» признано по данному уголовному делу потерпевшим.
Параллельно в силу ч. 3.1 ст. 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных) ООО «Н» в течение 24 часов было подготовлено и направлено в соответствующее Управление Роскомнадзора уведомление о произошедшем инциденте, а также в течение 72 часов – уведомление о результатах внутреннего расследования выявленного инцидента с предоставлением Акта о результатах проведения служебной проверки по факту утечки базы данных клиентов компании. Из документов следовало, что утечка персональных данных произошла в связи с неправомерным доступом к учетной записи внешнего подрядчика ООО «Н» – ООО «Г».
А далее ситуация развивалась по следующему сценарию: Роскомнадзором (не в рамках проверки, осуществляемой сотрудниками Управления Роскомнадзора, а вследствие поступления из ООО «Н» соответствующих уведомлений и акта!) в отношении ООО «Н» составлен протокол об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ. По мнению Роскомнадзора, своевременное направление уведомлений и акта не освобождает ООО «Н» от ответственности, предусмотренной ч. 1 ст. 13.11 КоАП РФ, а именно – за обработку персональных данных в случаях, не предусмотренных законодательством Российской Федерации, либо обработку персональных данных, несовместимую с целями их сбора!
Дело об административном правонарушении по ч. 1 ст. 13.11 КоАП РФ в отношении ООО «Н» поступило на рассмотрение в суд.
В судебном заседании защитник ООО «Н» вину юридического лица не признал, с обстоятельствами, изложенными в протоколе об административном правонарушении, в части инкриминируемого правонарушения не согласился, попросив прекратить производство по делу ввиду отсутствия в действиях ООО «Н» состава вменяемого административного правонарушения, поскольку вины Общества в распространении третьим лицам персональных данных не имеется, Общество распространение персональных данных не осуществляло, так как доступ к персональным данным произошел в связи с неправомерным доступом к учетной записи подрядчика ООО «Г». В обоснование доводов по ходатайству представителя ООО «Н» судом были приобщены копии постановлений из материалов указанного уголовного дела, а также в подтверждение выполнения требований Закона о персональных данных внутренние документы ООО «Н».
Суд, проанализировав материалы дела, пришел к следующим выводам:
1. В ООО «Н» утверждены и действуют локальные акты во исполнение требований Закона о персональных данных, имеется положение о работе с персональными данными (ППД), определены лица, ответственные за работу с ними, назначены сотрудники, у которых будет доступ к персональным данным, с них взято обязательство о неразглашении.
2. Из уведомления Роскомнадзора о факте неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекших нарушение прав субъектов персональных данных, следует, что при выявлении инцидента ООО «Н» предприняты меры по устранению последствий, а именно:
- ограничены доступы в максимально возможной степени, кроме необходимых для обеспечения работоспособности сервисов Компании;
- ограничена сетевая доступность составных частей платформы;
- ограничены доступы в сервисы мониторинга инфраструктуры;
- произведена оценка рисков и расследование источников инцидента;
- привлечены консультанты по информационной безопасности;
- осуществлены мероприятия по обращению в правоохранительные органы.
3. Из уведомления о предварительных результатах внутреннего расследования ООО «Н», направленного в адрес Роскомнадзора, в качестве наиболее возможной причины инцидента исследуется версия неправомерного доступа к учетной записи внешнего подрядчика. Проникновение и копирование базы данных произошло посредством внешней учетной записи для удаленного доступа, предоставляемого подрядчику ООО «Г», обслуживающему инфраструктуру ООО «Н». Предположительно внешним неустановленным злоумышленником была совершена кибератака на учетные данные подрядчика.
4. Между ООО «Н» и ООО «Г» ранее заключено соглашение о неразглашении конфиденциальной информации и обработке данных, гарантирующее защиту конфиденциальной информации и персональных данных.
5. В ООО «Н» проведена служебная проверка по факту утечки базы данных клиентов компании, по результатам которой составлен акт, из которого следует, что вероятным источником утечки базы данных клиентов ООО «Н» являются недобросовестные действия ООО «Г», подано заявление в правоохранительные органы по факту утечки персональных данных Компании ООО «Н».
6. Приведенные обстоятельства послужили основанием для привлечения ООО «Н» к административной ответственности, установленной ч. 1 ст. 13.11 КоАП РФ. Однако при возбуждении дела об административном правонарушении в отношении ООО «Н» должностным лицом Управления Роскомнадзора не приняты во внимание положения ст. 1.5, 2.1 и 24.1 КоАП РФ, в соответствии с которыми вопрос о виновности лица в совершении административного правонарушения, ответственность за которое установлена КоАП РФ или законом субъекта Российской Федерации, подлежит выяснению в рамках производства по делу об административном правонарушении.
7. Вместе с тем на основании заявления ООО «Н» по признакам преступления, предусмотренного ч. 3 ст. 272 УК РФ, возбуждено уголовное дело. ООО «Н» признано потерпевшим по настоящему уголовному делу.
8. Вменяемые ООО «Н» нарушения Закона о персональных данных и Положения об обработке персональных данных, указанные в протоколе об административном правонарушении, не нашли подтверждения в ходе рассмотрения дела, поскольку требования, предусмотренные Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, выполнены ООО «Н» своевременно и в полном объеме. По сути ООО «Н» вменяется неправомерная передача (предоставление, распространение, доступ) персональных данных неопределенному кругу лиц, однако виновные в действиях (бездействии) юридического лица ООО «Н» судом не установлены.
Постановлением мирового судьи по делу об административном правонарушении производство по делу об административном правонарушении, предусмотренном ч. 1 ст. 13.11 КоАП РФ, в отношении юридического лица – ООО «Н» прекращено на основании п. 2 ч. 1 ст. 24.5 КоАП РФ в связи с отсутствием состава административного правонарушения.
Данный кейс является одним из немногих примеров успешного доказывания отсутствия вины оператора в утечке персональных данных. Большинство же судебных решений основываются на следующей парадигме: факт утечки персональных данных собственно уже и является обработкой персональных данных в не предусмотренных законом случаях, что образует состав административного правонарушения, предусмотренного ч. 1 ст. 13.11 КоАП РФ. Таким образом, операторы зачастую несут ответственность за сам факт утечки, а не за недостаточные меры по защите персональных данных.
Законопроектные инициативы
Стоит отметить, что и привлекаемые к административной ответственности лица (из-за применяемых в настоящее время довольно мягких санкций) обычно занимают в суде пассивную позицию, признают вину и просят о смягчении ответственности. Но в недалеком будущем пассивность вряд ли будет наблюдаться, так как 23 января 2024 г. принят в первом чтении проект федерального закона № 502104–8 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», цель которого – значительно уменьшить количество случаев «утечек» персональных данных в РФ. В зависимости от объема «утекшей» информации размер штрафов для юридических лиц предлагается установить в размере от 3 до 15 млн руб., а за повторные правонарушения – предусмотреть санкции в виде оборотных штрафов.
Как отмечается в пояснительной записке к данному законопроекту, в настоящее время компании, допустившие утечки персональных данных, привлекаются к ответственности по ч. 1 ст. 13.11 КоАП РФ, предусматривающей максимальный размер штрафа для юридических лиц до 100 тыс. руб. (при повторном совершении правонарушения – до 300 тыс. руб.). При этом указанный размер штрафа несоразмерен с возможными последствиями от произошедших утечек. Попав в руки к злоумышленникам, данные могут стать инструментом для спам-звонков, нежелательных рассылок, шантажа, мошеннических схем и совершения иных, более тяжких преступлений.
С целью стимулирования операторов персональных данных инвестировать в развитие инфраструктуры информационной безопасности и защиту персональных данных их пользователей законопроектом предлагается дополнить ст. 13.11 КоАП РФ новыми составами административных правонарушений, предусматривающими установление административной ответственности за утечки баз данных, содержащих персональные данные.
Размер штрафа будет зависеть от объема «утекшей» информации.
За утечку специальных категорий персональных данных, относящихся к наиболее чувствительным данным, предполагается установление повышенных административных штрафов.
За повторные правонарушения, выражающиеся в серьезной «утечке» персональных данных, предлагается предусмотреть санкции в виде оборотных штрафов (процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение).
Одновременно в Государственную Думу внесен проект федерального закона № 502113–8 «О внесении изменений в Уголовный кодекс Российской Федерации», направленный на усиление уголовной ответственности за преступления, связанные с незаконным оборотом персональных данных. Законопроект дополняет УК РФ новой ст. 272.1, предусматривающей ответственность за использование и(или) передачу (распространение, предоставление, доступ), сбор и (или) хранение компьютерной информации, содержащей персональные данные, полученной путем неправомерного доступа к средствам ее обработки, хранения или иного вмешательства в их функционирование, либо иным незаконным путем, а также за создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для незаконного хранения и (или) распространения персональных данных.
Изменения в законодательстве требуют действий от всех, кто работает с персональными данными. Они подчеркивают важность прозрачности, ответственности и соблюдения законов в этой области. Для бизнеса и специалистов по информационной безопасности нововведения должны стать сигналом к адаптации и дополнительному укреплению систем защиты персональных данных.