Продажа персональных данных

Персональные данные клиентов МФО выставили на продажу в интернете

На специализированном интернет-сайте выставлены на продажу данные клиентов микрофинансовых организаций (МФО). В базе содержатся данные более 1,2 млн клиентов МФО, входящей в топ-10 на рынке, уверяет ее продавец (РБК обнаружил объявление о продаже от 2 февраля).

«Пробник» базы, содержащий около 800 записей, включает Ф.И.О., номера телефонов, адреса электронной почты, даты рождения и паспортные данные россиян. Продавец не раскрывает название МФО, чьи данные у него оказались, но большинство клиентов, ответивших на звонки РБК, сообщили, что обращались за займами в компанию «Быстроденьги». Также в пробнике были данные клиентов микрофинансовых компаний «Займер» «еКапуста», «Лайм» и «Микроклад». Они контактировали с МФО в период с 2017-го по конец 2019 года. Часть базы содержит неактуальные номера телефонов, уже не обслуживающихся или сменивших владельца. Некоторые участники базы подтвердили, что их данные в базе верны, но утверждали, что никогда не обращались за займами.

В «Быстроденьгах», изучив часть «пробника» (100 записей) в сравнении с собственной базой, сообщили, что уровень совпадения по строкам составляет 33%, но не по всем параметрам. «Например, совпадает Ф.И.О., но номер телефона отличается от указанного в нашей системе», — сказал Антон Грунтов, директор по безопасности группы компаний Eqvanta (в нее входят «Быстроденьги»).

В микрофинансовой компании «Займер» начато оперативное служебное расследование в связи с возможной утечкой персональных данных клиентов. Предварительные результаты показали, что утечки персональных данных из имеющейся базы клиентов МФК не происходило, тем не менее руководство компании обратилось в правоохранительные органы, сказал РБК ее представитель. «Микроклад» сообщил, что в пробной части нет данных его клиентов. Остальные крупные МФО не ответили на запросы РБК.

«К сожалению, это не первый случай утечки, в декабре был похожий инцидент распространения базы данных якобы МФО. От текущей она отличалась набором информации, названием столбцов», — сообщил Грунтов.

Как могла появиться база

Источник, близкий к ЦБ, сказал РБК, что продаваемая база похожа на объединение данных клиентов МФО из разных источников, а не на утечку из одной компании. Грунтов считает, что база данных не может принадлежать МФО или банкам из-за ее непригодности для работы, так как там есть поля, которые содержат только номер телефона и почту. По его мнению, источником этих данных могут быть веб-мастера или лидогенераторы, которые собирают данные клиентов для дальнейшей перепродажи. «Займер» также пришел к выводу, что источником утечки может быть база данных компаний-партнеров, которые собирают в интернете заявки на кредиты и продают их МФО. Кроме того, там предположили, что это может быть составная база данных клиентов нескольких уже не функционирующих МФО.

Это может быть база одной МФО, которая собрана по кусочкам из разных источников, в том числе из базы своих собственных клиентов, считает основатель компании в сфере информационной безопасности DeviceLock Ашот Оганесян. По его мнению, в базе содержатся заявки на кредит, при этом часть заявок может принадлежать действующим клиентам этой МФО. «Сам продавец это подтвердил, написав в объявлении, что сама компания использует базу для рассылок, но очень редко», — объяснил Оганесян. Утечка могла произойти через инсайдерский канал: либо сам продавец, либо тот, кто передал ему базу, работает в МФО, рассуждает эксперт.

По мнению начальника отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексея Сизова, эта база может быть комбинацией данных из нескольких разных источников. «Например, ее можно собрать из базы программы лояльности магазина, дополнив сведениями из систем проверки контрагентов и других источников», — говорит эксперт.

«Частичные совпадения продающихся в Сети данных о клиентах с данными действующих финансовых компаний объяснимы моделью поведения заемщиков МФО: желая получить деньги взаймы, они обращаются сразу в несколько микрофинансовых компаний», — объяснили в «Займере».

Весьма вероятно, что база действительно содержит 1,2 млн записей, так как сам продавец заявляет о готовности «работать через гаранта» (сервис проверки данных на специализированных сайтах), и это говорит о том, что он не обманет как минимум с количеством записей в базе, допускает Оганесян, но это не означает, что все эти записи достоверные.

Как мошенники могут использовать данные

Эти данные могут использоваться мошенниками для социальной инженерии: они могут придумать схему обмана клиентов на теме получения «выгодных» займов, говорит Оганесян. Кроме того, по его мнению, базой могут воспользоваться другие МФО для привлечения клиентов. Если звонящий представляется сотрудником банка и под предлогом борьбы с мошенниками просит клиента предоставить персональные сведения (данные документов, номера карт, коды из СМС от банков и т.п.), нужно положить трубку и перезвонить в банк по официальному номеру, неоднократно советовал Банк России.

Кроме того, в 2017 году ЦБ сообщил о новом способе использования утекших данных клиентов МФО: мошенники используют их для оформления онлайн-займов на имя жертвы. За восемь месяцев 2017 года ЦБ получил 309 подобных жалоб, что составляет 4% от всех 8,3 тыс. поступивших жалоб на МФО. Более поздние данные ЦБ на запрос РБК не предоставил.

Чтобы получить микрозаем онлайн, необходимы данные паспорта и СНИЛС, последний вид документа не содержится в продаваемой базе, однако мошенники могут заполучить его с помощью социальной инженерии. Кроме того, для проверки принадлежности паспорта человеку, отправившему онлайн-заявку, многие компании запрашивают сканы страниц паспорта и селфи клиента с паспортом в руках. В «Быстроденьгах» отмечают, что, несмотря на совершенствование скоринг-систем и служб безопасности, у мошенников все равно получается брать кредиты на третьи лица, а масштаб мошенничества растет: каждая десятая заявка на заем, поступающая в МФО, характеризуется как потенциально мошенническая, что ведет к отказу в ней.

Сколько ты стоишь: Как выгодно продать персональные данные

Варварские времена безнаказанного использования персональных данных подходят к концу. H&F разобрался, как пользователь может заработать на продаже информации о самом себе.

Наши персональные данные давно стали валютой, в обмен на которую мы получаем определённые продукты и услуги, например возможность пользоваться Facebook или Google. Компании получают информацию, перепродают её другим и чаще всего делают это без нашего ведома. Большинство из нас имеют весьма призрачное понимание того, какими объёмами информации они владеют. В 2011 году австрийский студент юрфака Макс Шремс попросил Facebook предоставить ему все сохранённые ими данные о нём. В результате длительных переговоров он таки получил по почте CD, содержащий PDF-файл на 1 222 страницы, на которых содержалась информация о его трудоустройстве, отношениях с окружающими, деталях личной жизни, старая переписка и фотографии с координатами мест, где они были сняты. Шремса особенно поразило то, что большинство этих фотографий он когда-то собственноручно удалил из профайла, — оказалось, они всё равно сохраняются в базе данных.

Вместо того чтобы впадать в истерику по поводу
неизбежной утечки информации, можно научиться контролировать её потоки

Другой пример впечатляет не меньше. Немецкий депутат «Партии зелёных» Мальте Шпитц запросил у Deutsche Telecom информацию о данных, собранных о нём с помощью его смартфона за последние полгода. Он также получил CD, в котором был файл длиной в 36 000 строк, а затем обнародовал их на этом сайте. Информация, собранная провайдером, поражает своей глубиной и уровнем детализации. Можно узнать, в какой день Шпитц ездил за город, где и во сколько обедал, с кем разговаривал.

Вместо того чтобы впадать в истерику по поводу неизбежной утечки информации, можно научиться контролировать её потоки и, понимая её истинную ценность, попробовать извлечь из этого пользу. Правда, пока нельзя сказать, что это очень прибыльное дело. По оценке JPMorgan Chase, данные одного человека стоят $4 для Facebook и $24 для Google. Оценить условную стоимость своих данных можно, например, использовав калькулятор на Financial Times. Из него становится ясно, что, если вы не миллионер, не владеете недвижимостью и не состоите в браке, «ваша» стоимость для маркетологов условно составляет 22 цента. Так что покупка 1 000 профайлов с данными, аналогичных вашему, обойдётся им всего в $220. В последние годы появляются компании, которые стараются максимизировать выгоду от использования персональных данных их непосредственными владельцами. H&F нашёл несколько примеров подобных проектов.

A bite of Me

Не обязательно прибегать к помощи сторонних компаний — можно всё сделать самостоятельно. Так, например, поступил Федерико Заньер, который запустил проект A bite of Me на Kickstarter, в котором предлагал всем желающим купить заботливо собранные им данные о себе. «Я устал от того, что компании вроде Facebook и Google обогащаются на моих онлайн-данных, отслеживая сайты, которые я посещаю, видео, которые я смотрю, составляя списки моих друзей. Если кто-то торгует моими данными, значит, в них есть определённая ценность, и я хочу получить причитающуюся мне часть», — говорит он.

Среди данных, которые решил продать Заньер, была информация о посещаемых им сайтах, 500 скриншотов страниц, 500 фотографий с веб-камеры, запись движения курсора по экрану, данные о местоположении и многое другое. Всё это он предлагал купить по цене $2 за один день. Кампания прошла успешно, на данные был спрос — в результате 213 человек заплатили за них более $2 700. В скором времени у Заньера появились последователи, среди них — ирландец Шон Баклз, который объясняет свои мотивы в этом видео.

Handshake

Основатель стартапа Handshake Дункан Уайт говорит, что самое главное на данном этапе — установить прозрачные взаимоотношения между владельцем данных и компанией-покупателем. «То, что раньше воровали, теперь учатся покупать», — считает он. Handshake — это площадка, благодаря которой пользователи могут контактировать с компаниями, решать, хотят ли они поделиться своими данными с ними, и если да, то за какую цену.

Устроено это так: пользователи регистрируются на сайте и вводят максимальное количество персональных данных, среди которых должен быть пол, возраст, род занятий и уровень дохода. Затем им предлагают участвовать в различных опросах, проводимых компаниями, в рамках которых они сообщают о себе дополнительную информацию за заявленную цену (можно торговаться). Тематика опросов варьируется от личных пристрастий в еде до привычек сна. Дункан считает, что люди, готовые потратить некоторое время на участие в подобных опросах, могут в среднем заработать за год от $1 000 до $5 000.

Datacoup

Datacoup предлагает пользователям ежемесячную плату (от $8) за право пользования их данными. Пока проект находится на стадии закрытого бета-тестирования — через пару месяцев обещают открыть доступ всем желающим. После регистрации на сайте можно будет выбрать, какой именно информацией вы хотите поделиться: например, предоставить доступ к аккаунтам соцсетей, данным с FitBit или истории своих поисковых запросов. Если вашими данными заинтересуется какая-нибудь компания, вы можете решить, хотите ли вы ими с ней поделиться или нет. Можно выбрать, с какой именно частью данных вы готовы расстаться в конкретном случае.

Основатель Datacoup Мэтт Хоган говорит, что важным преимуществом его сервиса является алгоритм, позволяющий выстраивать связи между разнородными данными. Например, выстроить последовательную цепочку событий, начиная с того, каким способом пользователь искал продукт в интернете, и заканчивая тем, где и когда он в итоге совершил покупку. Хоган уверен, что сможет заинтересовать своим «синтезирующим» подходом компании, покупающие персональные данные пользователей.

Personal

Personal, вероятно, наиболее зрелая и перспективная из компаний, позволяющих управлять персональными данными. Она предлагает пользователям создать защищённое хранилище всей личной информации, начиная с паролей и заканчивая данными из медицинской карты. Сервис не просто аккумулирует данные из всех источников, к которым вы откроете доступ, но и автоматически оформляет их в удобной для использования форме. Основная идея Personal в том, что пользователь может выбирать, кто имеет право доступа к определённым частям его информации: друзья, коллеги, бренды и т.д. Вместо того чтобы устанавливать настройки приватности на различных сайтах, можно будет делать это на одной платформе.

Читайте также:  Предоставление персональных данных без согласия

Основатель сервиса Шейн Грин видит свою задачу в создании «магазина данных», где каждый сможет получить нечто в обмен на право доступа к личной информации. Допустим, если пользователь присматривает себе новый автомобиль, он может поделиться информацией о своих поисковых запросах и посещаемых сайтах с автомобильными компаниями, которые в ответ могут предложить ему скидку.

Как продать персональные данные, или почему сложно повесить ценник на информацию

«Костяк» интернета — это пользователи, которые выкладывают в сеть всё больше и больше персональной информации, и IT-компании, которые используют эту информацию для создания новых сервисов и совершенствования существующих.

Дискуссия о том, сколько стоят эти данные, активно разрастается. Разбираемся, для чего компании используют ПД пользователей и можно ли их сделать (так или иначе) платными.

Смена парадигмы

Долгое время личные данные, которыми делятся пользователи в интернете, оставались бесплатными для компаний. Вопрос стоял лишь в том, как их собрать, проанализировать и использовать.

Сейчас этот нарратив меняется. Регуляторы ограничивают возможности IT-компаний и расширяют права юзеров: вводят новые законы, которые дают пользователям больший контроль над предоставляемой ими информацией. В результате пользователи начинают понимать, что у информации есть цена, а за практически любым действием, совершаемым ими в интернете, стоит та или иная форма манипуляции их персональными данными.

Это перестает устраивать пользователей — многие опросы, проведенные в 2018 году, показывают, что в обществе растет недовольство тем, как компании обходятся с ПД.

Ангела Меркель не так давно заявила, что нужно как можно скорее «повесить ценник» на персональные данные пользователей. Она предлагает рассматривать их с юридической точки зрения как материалы для ведения бизнеса. Цель подобной инициативы — сократить разрыв между традиционным бизнесом и IT-сектором и повысить понимание ценности персональной информации.

Но с точки зрения экономики данных информацию сложно описать, заключить в строгие понятийные рамки. Она может использоваться практически бесконечное количество раз, в отличие от, например, природных ресурсов. Более того, в определенных случаях из ресурса информация превращается в результат труда, а это ещё одно отдельное поле для технологических и правовых дискуссий.

Сколько стоят ПД

Данные о возрасте и местоположении, история поиска пользователей — столпы многомиллиардной индустрии рекламы в интернете. Например, только в 2017 году контекстная реклама принесла Facebook 40 млрд долларов — на 49% больше, чем годом ранее. Однако адекватно оценить стоимость информации каждого отдельного пользователя того или иного сервиса (в валюте) довольно сложно.

Исследователи из Рочестерского университета на основании количества просмотров страниц с рекламой подсчитали, что в среднем стоимость поведенческой информации одного пользователя Facebook в 2016 году составляла 47 долларов. Однако сами пользователи (из США, Великобритании и Германии) оценили свои персональные данные в 150 долларов — это средняя цифра по трем тысячам респондентов, опрошенных исследовательской компанией Syzygy в мае 2018 года.

При этом треть респондентов из США готовы довольствоваться всего 25 долларами. А 67% немцев, 52% англичан и 55% американцев заявили, что не продадут свои данные ни за какие деньги, даже любимым брендам.

Иными словами, определить реальную и честную цену информации — отдельная крупная проблема, так как все пользователи оценивают её по-разному.

Ещё один актуальный вопрос — процесс оплаты и организации технологии обмена информации на деньги. Одно из решений в этой области — DataWallet, приложение для продажи своих персональных данных. Каждый пользователь самостоятельно выбирает, какой именно информацией он готов поделиться (например, место работы, но не день рождения) и из какого источника (например, Facebook или Twitter). Приложение собирает все данные, удаляет всю персонализацию (адрес электронной почты, имя и так далее), объединяет их в аналитические отчеты. Эти отчеты идут на продажу, и их могут купить брокеры данных. Приложение потом распределяет вырученные деньги с продажи между всеми пользователями, чьи данные вошли в купленный отчет. В среднем пользователь может получить через DataWallet от 1 до 50 долларов.

Другой вариант — исключить «промежуточное звено» и предложить самим IT-сервисам «покупать» у пользователей их персональные данные. Правда, в таком случае сумма компенсации вряд ли будет значительной (например, если Facebook разделит свои доходы между всеми ежемесячными пользователями, то каждый получит около 9 долларов в год). Более того, это странным образом повлияет на экономику IT-сектора: сейчас многие из сервисов в интернете бесплатны (в отличие от офлайн-бизнеса), а в рамках такой модели им придется ещё и доплачивать пользователям.

Будущее машинного обучения

Сегодня во многих случаях каждое решение или действие пользователя — лайк в соцсетях, загрузка файла, поисковый запрос, взаимодействие с рекламным объявлением — это единица информации для алгоритмов машинного обучения, лежащих в основе какого-либо IT-бизнеса. Получается, что серфинг в интернете превращается в своеобразную работу, которую, однако, неизвестно как отслеживать и оплачивать.


/ фото Best Picko CC

Одно из возможных решений, считают эксперты, подсказывает история — это создание «профсоюзов информационного труда», которые будут общаться с компаниями, договариваться о ставках, предотвращать правонарушения и следить за качеством информации.

Если такая концепция, кажущаяся чем-то из научной фантастики, так или иначе воплотится в жизнь, IT-гиганты потеряют часть прибыли, но, вероятно, выиграют в долгосрочной перспективе. Организованный рынок «информационного труда» будет генерировать регулярный поток более качественной информации, благодаря которой алгоритмы смогут стать ещё лучше.

Повесить ценник не просто

В одном месте на персональные данные давно повесили ценник. Это место — Dark Web, и доступная там информация значительно отличается от той, в которой заинтересованы рекламные биржи и бренды. Там можно получить куда более важную информацию, чем пол или семейное положение: от данных водительских лицензий до паролей от кредитных карт.

Как отмечают в аналитическом агентстве Experian, цена за медицинскую информацию может достигать тысячи долларов, а за данные паспортов могут попросить две тысячи.

Для «светлой стороны» IT-сектора цена персональной информации — вопрос открытый и новый. Он связан не только с технологиями и экономикой, но и с паттернами поведения пользователей, привычным потреблением информации, статусом кво в отношениях между интернет-сервисами и теми, кто ими пользуется.

Пока что все разговоры об оценке ПД пользователей остаются лишь разговорами. Однако если дело дойдет до законодательного регулирования, то стоит тщательно продумать все положения и акты, поскольку это затронет основы интернета, к которому все привыкли.

Как в России ловят и наказывают за незаконную торговлю персональными данными

Наверное, уже все знают, что наши персональные данные давно и успешно стали объектом законной и незаконной экономической деятельности. Про торговлю банковской информацией, данными сотовых операторов и госорганов я писал в заметке: «Цены черного рынка на российские персональные данные».

Если судить по огромному количеству предложений на черном рынке, то может сложиться впечатление, что государство и частные компании – операторы персональных данных (банки, операторы сотовой связи и т.п.) попросту самоустранились от решения данной проблемы.

Однако, случаи, когда продавцов персданных ловят и даже судят, есть. Правда, стоит отметить, что ловят, как правило, непосредственных исполнителей заказов, т.е. сотрудников организаций, имеющих доступ к информации в силу своих служебных обязанностей. А вот посредники, активно нанимающие таких неблагонадежных сотрудников банков, операторов связи, госорганов, а затем перепродающие данные граждан на черном рынке, зачастую остаются в тени и уходят от наказания.

Я сделал подборку за год всех случаев задержания и осуждения лиц, так или иначе связанных с торговлей персональными данными, про которые писали СМИ.

Февраль 2018.

В суд направлено дело четверых жителей Пензы, арестованных за продажу персональных данных абонентов сотовых операторов. По данным следствия, в октябре 2016 года 26-летний житель Пензы и его 27-летний знакомый решили найти инсайдеров, имеющих доступ к двум операторам сотовой связи, которые за вознаграждение станут копировать персональные данные абонентов и сведения об их телефонных переговорах. Подельникам удалось договориться с двумя 20-летними девушками, работавшими в салонах операторов сотовой связи. В интернете на специализированных форумах было размещено объявление о продаже персональных данных абонентов и информации о звонках. С декабря 2016 по конец марта 2017 года было получено 17 заказов, каждый стоимостью от 500 до 4 000 рублей.

Прокуратура Нижегородской области сообщает, что по версии следствия 30–летний оперуполномоченный уголовного розыска ОМВД России по Богородскому району в 2015 году за денежное вознаграждение организовал незаконную передачу информации из ведомственных банков данных МВД. В 2016 году он привлёк к этому и своего младшего брата, также занимавшего должность оперуполномоченного уголовного розыска. Злоумышленники систематически использовали доступ в базы данных МВД России для получения и передачи служебной информации через интернет неопределенному кругу лиц. Эта преступная деятельность продолжалась более года. Отмечается, что таким образом мужчины получили доход свыше 700 тыс. рублей.

В Липецкой области на сотрудницу банка завели сразу три уголовных дела. Финансовый консультант местного офиса известного банка незаконно использовала персональные данные клиентов о счетах и вкладах. В ходе проверки выяснилось, что сотрудница банка использовала личные данные клиентов для хищения денег с их счетов и вкладов. Замечу только, что тут было хищение средств со счетов клиентов, а не торговля данными, видимо поэтому банк решился на подачу заявления в МВД. Других публичных случаев, когда банки официально расследуют незаконный доступ к информации клиентов, мне не известно.

Два бывших оперуполномоченных из Богородска (Нижегородская область) получили по 1,5 года лишения свободы условно за использование персональных данных из базы МВД. В ходе следствия установлены обстоятельства получения полицейскими 800 тысяч рублей от граждан из более чем 20 субъектов РФ. Большая часть переданных персональных данных связана с проверкой сведений о собственниках автомототранспортных средств.

Апрель.

33-летний экс-следователь одного из московских райотделов полиции, уволившись по собственному желанию из правоохранительных органов, решил зарабатывать деньги на торговле данными о частных телефонных переговорах. Раздобыв поддельную печать Мещанского райсуда Москвы, за два года успел оформить порядка 300 липовых судебных решений о предоставлении данных детализации телефонных переговоров, а также информации о самих абонентах у основных операторов сотовой связи. Стоимость одного заказа на детализацию и данные об абоненте колебалась от 45 тыс. до 100 тыс. руб., при этом самому бывшему следователю доставалось 10–15 тыс. руб. Остальные деньги распределялись между посредниками, с которыми экс-следователь в основном общался с помощью мессенджеров.

В Саратове по результатам прокурорской проверки возбуждено уголовное дело в отношении должностного лица. Установлено, что с марта по декабрь 2016 года помощник оперативного дежурного управления внутренних дел по городу Саратову, имеющий доступ к сведениям о происшествиях и преступлениях, произошедших на территории города Саратова, систематически передавал сведения о фактах смерти граждан индивидуальному предпринимателю, который осуществлял деятельность в сфере ритуальных услуг.

Поймали бывшего начальника одного из подразделений Комитета по управлению городским имуществом и земельными ресурсами администрации Нижнего Новгорода. За взятку в 1,2 миллиона рублей 36-летний начальник управления согласился в течение года передавать любые сведения ограниченного доступа, в том числе персональные данные граждан, которые содержатся в информационных системах по учёту объектов недвижимости и земельных участков. В подтверждение своей готовности к «сотрудничеству» чиновник передал USB-носитель с частью запрошенных данных. В декабре суд приговорил бывшего начальника к лишению свободы на срок 8 лет с отбыванием в колонии строго режима, а также штрафу в размере 3,6 млн рублей, по статье за взяточничество. Кроме того, в течение 5 лет он не сможет занимать определенные должности.

Читайте также:  Продажа долга коллекторскому агентству

В Воронеже бывшую сотрудницу сотовой компании обвинили в незаконной слежке за телефонными звонками. Ей вменяют нарушение части 2 статьи 138 УК РФ (нарушение тайны переписки, телефонных переговоров и иных сообщений граждан, совершенное лицом с использованием своего служебного положения). Следователи установили, что с 30 ноября 2017 года по 22 февраля 2018-го работница сотовой компании, находясь на рабочем месте, незаконно просматривала детализации телефонных соединений.

В Мордовии сотрудники сотовых компаний, торговавшие персональными данными, получили условный срок. 27-летний оператор контактного центра ООО «Т2Мобайл» Анатолий Панишев получил 1 год 7 месяцев, а 24-летняя специалист ПАО «Вымпелком» Анна Синева – 1 год 4 месяца. Следствием установлено, что в феврале 2017 года к Панишеву с использованием Telegram обратилась бывшая сотрудница ООО «Т 2-Мобайл» (г. Саранск) Синева с предложением передачи ей фотографий с паспортными данными, номерами телефонов, которые она предоставляла в WhatsApp и Telegram. За один номер телефона она обещала платить по 200 рублей. По некоторым данным, Синева перепродавала персональные данные в интернете по 500 рублей. В период с февраля по апрель 2017 года Панишев через компьютерную программу Invoice копировал на свой телефон персональные данные абонентов, включающие фамилии, имена, отчества, реквизиты документов, удостоверяющих личность, параметры оказания услуг – сведения о денежных средствах на лицевом счете, и через Telegram передавал их на мобильный телефон Синевой.

Сентябрь.

Бывший замначальника отдела полиции №1 “Северное” ОМВД России по Нахимовскому району в Севастополе получил три года колонии за продажу данных о смерти людей сотрудникам ритуальной фирмы. Александр Барановский признан виновным в получении взяток от владельца ритуальной фирмы. Он в течение нескольких лет он передавал информацию о фактах смерти граждан и данные их родственников.

Октябрь.

ФСБ задержала российского пограничника, который, вероятно, продал информацию о заграничных поездках Александра Петрова и Руслана Боширова, обвиненных в отравлении полковника ГРУ Сергея Скрипаля. Пограничник работал в Северо-Западном федеральном округе. Вместе с ним был задержан сотрудник одного из подразделений Федеральной налоговой службы (ФНС). Задержания проходили в рамках спецоперации по предотвращению утечек из закрытых баз данных. Кстати говоря, эта спецоперация довольно сильно подкосила черный рынок «госпробива» на какое-то время.

Ноябрь.

В Калининграде задержали 25-летнего менеджера салона сотовой связи за продажу персональных данных клиента. К менеджеру обратился неизвестный мужчина, который попросил за вознаграждение предоставить данные на определенного абонента. Дело возбуждено по части 3 статьи 272 УК РФ (неправомерный доступ к компьютерной информации). Максимальное наказание – лишение свободы на срок до пяти лет.

Суд Томска приговорил к трем годам условно бывшего участкового полиции, который за финансовое вознаграждение сообщал сотруднику ритуального бюро персональные данные умерших. “Установлено, что в период с 27 декабря 2017 года по 3 апреля 2018 года подсудимый, являясь участковым ОМВД России по Томскому району, получил взятку в виде денег на общую сумму 21 тысяча рублей за незаконное предоставление конфиденциальных сведений умерших лицу, действующему в интересах коммерческой организации, предоставляющей ритуальные услуги. Эти данные в дальнейшем использовались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг”.

Декабрь.

Следственное управление Следственного комитета по Новосибирской области возбудило уголовное дело о незаконной передаче сведений, составляющих коммерческую тайну, в отношении сотрудницы «Русской телефонной компании». 20 ноября прошлого года подозреваемая зашла в систему под своим рабочим логином и паролем и скопировала информацию, содержащую сведения о дате и времени соединений, номерах исходящих и входящих соединений абонента сотовой связи МТС, после чего передала эти данные третьим лицам. В отношении подозреваемой возбуждено уголовное дело по ч.2 ст.183 УК РФ (незаконная передача третьим лицам сведений, составляющих коммерческую тайну). Сотруднице грозит до трех лет лишения свободы.

Прокуратура Ленинского района Магнитогорска направила в суд уголовное дело в отношении бывшей начальницы городского управления пенсионного фонда, обвиняемой в получении взятки и злоупотреблении полномочиями. В 2017 году женщина передала сотруднику коммерческого банка персональные данные горожан, которые незаконно использовались в служебной деятельности кредитного учреждения. За это начальница пенсионного фонда получила взятку в размере 61,4 тыс. руб. Эти деньги были перечислены на банковский счет ее дочери под видом оказания материальной помощи от работодателя.

Домодедовский городской суд Московской области признал сотрудника полиции виновным в совершении коррупционных преступлений и приговорил к четырем годам шести месяцам лишения свободы. Кроме того, осужденный оштрафован на 600 тыс. руб. Суд установил, что полицейский на протяжении нескольких месяцев неоднократно получал взятки в размере до 15 тыс. руб. через посредника за предоставление бланков миграционных карт и персональных данных иностранцев из автоматизированной базы данных.

Январь 2019.

В Муроме завершено расследование уголовного дела в отношении бывшего работника салона сотовой связи, которому предъявлено обвинение по ч. 2 ст. 138 УК РФ (нарушение тайны телефонных переговоров), ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации) и ч. 3 ст. 183 УК РФ (незаконное получение сведений, составляющих коммерческую тайну). В январе 2017 года, 23-летний бывший сотрудник салона сотовой связи неоднократно подделывал заявления от имени клиентов на получение сведений о соединениях, а при получении данных копировал их на сменный носитель. Он направил от имени клиентов 43 сервисных запроса на получение детализаций абонентов — часть запросов была удовлетворена. Такая активность насторожила сотрудников безопасности телефонной компании – работника вычислили, после чего он был уволен, а материалы были переданы в следственные органы. Уголовное дело с утвержденным обвинительным заключением направлено в суд. В соответствии с законом обвиняемому грозит до 5 лет лишения свободы.

В Перми бывшая сотрудница полиции обвиняется в злоупотреблении должностными полномочиями (ч. 1 ст. 285 УК РФ) и мелком взяточничестве (ч. 1 ст. 291.2 УК РФ). В 2017 году она имела доступ к сведениям банков, которые содержали персональные данные клиентов. Без ведома самих граждан и соответствующих запросов компетентных органов она предоставляла эти данные директору коммерческой организации. За эти сведения бывшая сотрудница полиции получала вознаграждение – от 100 до 500 рублей. После того, как случаи взяточничества вскрылись, женщину уволили из органов внутренних дел. Уголовное дело завершено, материалы дела переданы в суд.

Сотрудник мобильного оператора «Мегафон» в Санкт-Петербурге был обвинен в совершении преступления, ч. 2 ст. 138 УК РФ (нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений). Суд установил, что подсудимый находился в должности инженера по разработке отчетности корпоративного хранилища данных и нес обязательство по сохранению конфиденциальной информации компании. Он, используя свое служебное положение, имея доступ к данным биллинговых систем, получил доступ к конфиденциальной информации потерпевшего и передал эту информацию неустановленным лицам. С учетом позиции государственного обвинения, отсутствии возражений со стороны потерпевшего, ходатайство следователя удовлетворено, подсудимому назначен штраф в размере 100 тыс. рублей.

Февраль.

В Новосибирске суд вынес приговор двум бывшим сотрудникам МТС, которые украли базу данных абонентов Новосибирска, Барнаула, Новокузнецка и Бердска. На момент совершения кражи, один из злоумышленников уже уволился из МТС, а второй продолжал работать в должности ведущего супервайзера. Кража была совершена 18 июля 2018 года. Двое злоумышленников свободно зашли в офис и проникли в кабинет с компьютером, который имел доступ в корпоративную сеть. Один из них попросил логин и пароль у начальства. Скачанную базу данных попытались отправить себе на личную почту в виде файла-архива, но из-за большого размера это не удалось сделать. Тогда архив разделили на несколько частей и вновь отправили на почту. Всего в украденной базе были данные 506,185 абонентов, содержащие: фамилии, имена, отчества, номера телефонов и адреса. Во время предварительного следствия злоумышленники признались, что пытались продать данные каждого абонента по одному рублю за запись, заработав таким образом более 500 тысяч рублей. 26 февраля 2019 года суд признал Никиту Черницова и Виталия Иванова виновными по статье 183 УК РФ “Сбор сведений, составляющих коммерческую тайну, причинивший крупный ущерб или совершенный из корыстной заинтересованности”. Черницова приговорили к 1 году 6 месяцам условно с аналогичным испытательным сроком, а Иванову дали на три месяца меньше.

В Томске вынесен приговор бывшему участковому уполномоченному полиции, получившему взятку за предоставление в интересах ритуальной фирмы сведений об умерших гражданах. В суде выяснили, что со 2 января по 18 июня 2018 года подсудимый, в то время работавший в должности участкового, получил взятку в 42 тысячи рублей за незаконное предоставление конфиденциальных сведений о персональных данных умерших граждан лицу, действующему в интересах коммерческой организации, оказывающей ритуальные услуги. Эти данные в дальнейшем предназначались для обеспечения заключения с родственниками умерших граждан договоров на оказание ритуальных услуг Суд приговорил подсудимого к трем с половиной годам лишения свободы условно с испытательным сроком три года. Также его лишили права в течение двух лет занимать должности в системе правоохранительных органов РФ.

Суд в Новосибирске признал виновным руководителя ритуального агентства в даче взяток. 41-летнего мужчину приговорили к семи годам лишения свободы условно с испытательным сроком три года. Предприниматель давал взятки сотрудникам полиции, чтобы получить информацию о персональных данных умерших в Новосибирске, а именно их фамилию, имя, отчество, дату рождения и смерти, а также местонахождение.

В Воронежской области суд рассмотрит дело 38-летней начальницы отдела ПАО СК «Росгострах», которая незаконно копировала базу данных клиентов в июле 2018 года. По версии следствия, женщина, имея доступ к базе клиентов, скопировала себе их персональные данные, контакты и информацию о стоимости страховых услуг. Для отправки данных самой себе она использовала корпоративную электронную почту. Уголовное дело возбуждено по ч. 3 ст. 272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло копирование компьютерной информации). Максимальная санкция – лишение свободы на 4 года.

Продажа персональных данных

Защита персональных данных
с помощью DLP-системы

Л ичная информация граждан, их персональные данные, все чаще продаются на черном и сером рынках. Не всегда они нужны именно злоумышленникам, чаще приобретением баз имен и телефонов граждан интересуются продавцы различного рода товаров и услуг с целью последующего предложения им собственной продукции. Насколько законна такая практика, и есть ли нормативно-правовые средства ее остановить?

Зарубежная практика продажи персональных данных

Под персональными данными понимается любая личная информация о человеке, которая могла бы помочь его идентификации или нахождению его имущества или места жительства. Российский рынок продажи персональных данных в теневом секторе Интернет, так называемом dark net’e (вход на его сайты доступен только при помощи Tor или аналогичных программных средств), не очень хорошо исследован. Гораздо более объемная статистика собрана на рынке США, где информация консолидируется при помощи специализированных агентств. Но американские данные помогают составить картину происходящего на российском рынке с учетом существенно меньших масштабов происходящего.

Если поинтересоваться стоимостью информации, то компания Metric Labs говорит о том, что большой пакет персональных данных, включающий сведения о кредитной карте, может стоить около 1200 долларов США . Номер только полиса медицинского страхования стоит не более 1 доллара. В полный пакет, помимо сведений о карте, может входить информация, полученная при помощи анкет, заполняемых пользователями интернет-сервисов, социальных сетей, интернет-магазинов. Учетная запись пользователя Uber будет стоить покупателю всего 10 долларов, при этом злоумышленники получат информацию о маршрутах поездок, а новый пользователь записи сможет с ее помощью оплачивать собственные поездки, даже за рубежом. Достаточно дорого будет стоить информация о номере и пароле электронных кошельков, например PayPal. По последним данным, их стоимость на черном рынке доходит до 247 долларов США. Взломанная запись на интернет-аукционе eBay стоит существенно дешевле, но она позволяет приобретать дорогие товары за счет ее владельца.

На наиболее популярных ресурсах дарк-веба, Dream, Point и Wall Street Market, существуют десятки тысяч предложений по продаже персональных данных различных категорий. У одного американского гражданина могут существовать десятки аккаунтов в различных сервисах, злоумышленники могут объединять данные всех взломанных ресурсов и формировать пакетные предложения, при этом практически вся информация по среднему гражданину стоит около 1000 долларов США. Такие предложения столь же популярны у покупателей, как и объявления о продаже наркотиков или незарегистрированного оружия. Информация может стать помощником в шантаже, хищении средств с интернет-кошельков и с кредитных карт, иных покушениях на имущество или здоровье гражданина. Самыми дешевыми становятся адреса и пароли от электронной почты, мало кто готов искать полезную информацию среди гигабайтов спама. Отдельный интерес представляют пакеты Fullz, где указываются идентифицирующие данные, девичья фамилия матери, номер карты социального страхования и финансовая информация.

Читайте также:  Могут ли входящие звонки быть платными

Интересно, что еще при президенте Обаме в США был введен закон, запрещающий интернет-провайдерам продавать данные своих клиентов третьим лицам без получения согласия на это самих клиентов, но президент Трамп подписал поправку, отменяющую этот закон. Теперь данные об истории посещения сайтов и геолокации пользователей могут быть проданы третьим лицам. Деятельность Роскомнадзора об обязании Фейсбука и других социальных сетей перевести хранилища персональных данных российских граждан в Российскую Федерацию может частично снизить для соотечественников риск узнать, что сведения об их аккаунте стали достоянием неизвестных лиц с неизвестными целями.

Российская практика продажи и защиты персональных данных

Как сообщает газета «Коммерсантъ», в 2018 году число несанкционированных проникновений в базы данных компаний с целью хищения и последующей перепродажи персональных данных граждан выросло на 32 % по сравнению с предыдущим годом. Многие хотят получить адреса и телефоны клиентов компаний-конкурентов, но зачастую сведения похищаются не для конкретного заказчика, а для их перепродажи любому заинтересованному лицу. Иногда это происходит и для личного пиара похитителей. Так, несколько лет назад прогремела история с похищением личной переписки вице-премьера Аркадия Дворковича хакерской группировкой Шалтай-Болтай. Организаторами в открытый доступ было выложено несколько малозначащих писем, при этом основной массив предлагалось приобрести на аукционе. Деятельность этой группировки была пресечена достаточно быстро . Простые граждане не всегда могут рассчитывать на такую оперативность органов, особенно когда преступление против их прав остается скрытым, пропажа двух-трех рублей с одной банковской карты останется незамеченной их держателями, а если это происходит одновременно с миллиона карт, у кого-то появляются средства на планирование следующих криминальных деяний.

В России еще несколько лет назад достаточно легко можно было купить:

  • базы данных ГИБДД;
  • базы данных Росреестра;
  • базы данных налоговых органов.

Все они содержат те персональные данные, которые при попадании в руки злоумышленников могут причинить ущерб своим владельцам. С появлением строгих требований об установке защищенного программного обеспечения для всех государственных органов и операторов персональных данных таких предложений стало меньше. Но не снизился поток кибератак, нацеленных на хищение сведений любого рода, касающихся конкретных граждан, с целью их перепродажи. Они осуществляются следующими путями:

  • вредоносное ПО;
  • использование подбора паролей от аккаунтов;
  • социальная инженерия (использование человеческих слабостей, например, отправка фишингового письма по электронной почте с пониманием, что средний человек ответит на него и предоставит доступ к своим данным.

С целью защиты персональных данных российских граждан от продажи и покупки депутаты Госдумы, среди которых небезызвестный Андрей Луговой, прочно связанный в памяти россиян с убийством Литвиненко, внесли законопроект, согласно которому все интернет-сервисы, осуществляющие обработку персональных данных граждан, обязаны делать это на серверах, расположенных в России. Законопроект быстро стал законом, который вступил в действие 01.09.2016 г. Это помогло частично обезопасить информацию от несанкционированного хищения ее держателями хостингов с целью дальнейшей перепродажи. Вместе с внедрением норм закона произошло создание автоматизированной системы «Реестр нарушителей прав субъектов персональных данных». В нее теперь включаются все операторы, которых можно заподозрить в продаже или покупке данных пользователей. Запуск этой системы прошел успешно, и теперь каждый гражданин, прежде чем доверить свои данные какому-либо участнику рынка, может проверить, не успел ли тот стать участником этого криминального рейтинга. Попасть в реестр можно на основании заявления пострадавшего субъекта, направленного им в Роскомнадзор.

Ответственность за продажу персональных данных по российскому законодательству

Борьба с хакерами, похищающими персональные данные граждан, ведется в рамках Уголовного кодекса, в котором предусмотрена ст. 272 «Неправомерный доступ к компьютерной информации». Практика ее применения в России пока не очень широка. Тем не менее приговоры за возмездное оказание услуги в виде предоставления неправомерного доступа к логину и паролю потерпевшего, совершенное путем применения специальных знаний, не столь редки. Случаи единичного хищения и продажи данных наказываются на практике 1-2 годами ограничения свободы. Случаи задержания серьезных хакеров и привлечения их к суду прессой практически не раскрываются, прецедент с сотрудником СК «Открытие», продавшим данные 380 тысяч клиентов за 50 тысяч рублей, стал одним из немногих, известных широкой публике.

Защита персональных данных гражданина, не похищенных хакерами, а переданных оператору для обработки, также предусмотрена рядом нормативно-правовых актов. Среди них ст. 24 Конституции РФ, которая предусматривает, что распространение информации о частной жизни человека недопустимо. Это понятие не совсем совпадает с предложенным в законодательстве о персональных данных, которое также запрещает любую обработку этой информации без согласия субъекта и не в соответствии с изначально заявленными Роскомнадзору целями ее сбора. Но и при наличии согласия продажа персональных данных, передача их третьим лицам оператором персональных данных за деньги должна преследоваться как пользование чужим имуществом с целью получения незаконного обогащения.

На помощь гражданину должны прийти ст. 137 УК РФ, говорящая о запрете нарушения неприкосновенности частной жизни, а также деятельность Роскомнадзора, который обязан привлекать к административной ответственности лиц, незаконно распространяющих такую информацию. В этом случае должны работать нормы статьи 13.11 КоАП РФ, предусматривающие ответственность за использование персональных данных в целях, противоречащих тем, с которыми они собирались. Максимальная ответственность по этой статье составляет всего 75 тысяч рублей, что иногда несоизмеримо с получаемыми выгодами.

Тем не менее активность Роскомнадзора не распространяется на обычных работодателей, не входящих в реестр операторов персональных данных, и на многие другие компании. В ряде случаев даже после многочисленных проверок Роскомнадзора кандидаты, выложившие свои данные на сайт Headhunter, внезапно узнают, что их телефонные номера оказались у агентов банка Ренессанс Капитал. Эта практика не столь очевидна, как взлом информационных сетей и хищение персональных данных с использованием вредоносных программ, ее сложнее преследовать по закону, но моральный ущерб гражданам она приносит серьезный.

Развитие нормативно-правовой базы должно остановить систематическое хищение и продажу персональных данных граждан, что поможет снизить уровень преступности и напряженности в обществе.

Россиян предостерегают от продажи своих персональных данных зарубежным компаниям

Эксперты считают, что персональные данные россиян можно защитить только при хранении их в России, и что только государство в состоянии обеспечить защиту прав граждан в этой чувствительной области.

А вот инициатива предоставлять свои данные бизнес-структурам за вознаграждение вызывает у экспертов пока много вопросов. Ведь частные компании строго блюдут свои коммерческие интересы, а значит — теоретически — могут перепродать чувствительную для граждан информацию недобросовестным покупателям.

Продажа данных — зло или благо?

Тема защиты персональных данных россиян и необходимости локализовать их хранение в России была поднята в связи с информацией о создании платформы, с помощью которой граждане смогут сами распоряжаться своими персональными данными.

Ранее появилась информация, что Фонд развития интернет-инициатив (ФРИИ) и израильская компания Нuman Digital Capital вложат до 250 млн рублей в платформу «Датамания» компании IDX, которая, по версии разработчиков, будет предоставлять россиянам возможность за вознаграждение позволять бизнес-структурам пользоваться их персональными данными. За год планируется привлечь к проекту около миллиона пользователей. Впрочем, бизнес пока не готов платить за такие данные большие деньги, предупреждают эксперты.

Данные должны принадлежать людям, а не IT-компаниям

IT-компании давно используют персональные данные пользователей в коммерческих целях, получая многомиллионные прибыли. За счет так называемой контекстной рекламы, например, отлично живет Facebook, получая миллионы долларов от рекламы, в том числе благодаря российским пользователям, но при этом не платя ни копейки налогов в российский бюджет, напоминает президент Фонда защиты национальных ценностей (ФЗНЦ), глава комиссии по СМИ Общественной палаты Александр Малькевич.

«Любое сообщение, либо реклама, размещенные в соцсети, могут стать достоянием миллионов, чем владельцы Facebook откровенно злоупотребляют, — отметил глава ФЗНЦ в комментарии Федеральному агентству новостей. — Это касается в том числе пользования персональными данными, которые помогают рекламодателям точечно размещать определенную рекламу и получить огромные прибыли».

Однако из-за демонстративного отказа руководства Facebook открывать в России свое официальное представительство эта компания не платит ни копейки отчислений в российский бюджет, напоминают эксперты. При этом Facebook нарушает законодательство РФ, которое прямо предусматривает хранение персональных данных россиян на российских серверах.

Скандалы-скандалы

Отметим, использование бизнесом персональных данных часто происходит без уведомления владельцев этих данных, что приводит к многочисленным скандалам. Чаще всего их фигурантом становится Facebook, но, как говорится, не фейсбуком единым…

Так недавно разразился громкий скандал с антивирусом Avast, владельцев которого обвинили в продаже данных пользователей большим компаниям. Объектом такой продажи могут быть данные геолокации, поисковые запросы и т.д. — все это приносит заинтересованным бизнес-структурам миллиардные дивиденды.

Данные должны храниться в России

IT-компании, зарегистрированные за рубежом, там же хранят и обрабатывают личные данные пользователей, в том числе россиян. Это представляет для граждан РФ серьезную опасность и наносит ущерб бюджету нашей страны. Дело в том, что, когда данные находятся вне доступа контролирующих структур, выяснить, кому будет передана информация, в том числе весьма чувствительная, невозможно.

Также в этом случае происходит прямое нарушение налогового законодательства: Россия и ее граждане не получают ничего, хотя сделка проводится с персональными данными россиян, и сами эти данные, вполне вероятно, будут использоваться на территории РФ. Это еще одна причина, по которой персональные данные людей должны храниться на территории государства, гражданами которого они являются, отмечают эксперты.

Люди сами хозяева своих данных

Персональные данные должны принадлежать только самим пользователям, и, следовательно, только граждане должны иметь право распоряжаться ими, в том числе, получать выгоду от их продажи. Разработчики приложения считают, что их продукт позволит устранить несправедливость в этой сфере, хотя, насколько это будет соответствовать истине, покажет будущее.

Норма, а не исключение

Громкие скандалы с продажей данных пользователей для многих западных ресурсов — скорее норма, чем неприятный инцидент. Так недавно Facebook согласился выплатить 550 миллионов долларов, чтобы избежать суда за очередную утечку данных пользователей (речь шла о приложении с технологией распознавания лиц на фото).

Александр Малькевич напомнил, что такие скандалы для Facebook норма, а не исключение, и что Россия уже наказывала ресурсы за отказ выполнять требования российского законодательства в этой области. Так, в 2016 году Роскомнадзор заблокировал социальную сеть Linkedin за незаконное использование его владельцами персональных данных россиян. Российские власти вынуждены были пойти на крайние меры, поскольку владельцы соцсети игнорировали все требования и предупреждения, как, собственно, поступают и Facebook, и Twitter, и YouTube.

Эксперт комиссии Общественной палаты по СМИ Вадим Манукян в комментарии ФАН отметил, что прецеденты, когда компанию Facebook удавалось жестко наказать, хотя бы деньгами, уже были.

«Такие прецеденты с Facebook в самих Соединенных Штатах были уже неоднократно, а мы почему-то с ними все еще миндальничаем», — отметил он.

Только государство в состоянии обеспечить защиту прав граждан в области хранения персональных данных, а частные компании преследуют тут исключительно коммерческие интересы, подчеркнул эксперт.

Бесплатная консультация юриста по телефону:

Москва, Московская обл. +7(499)113-16-78

СПб, Ленинградская обл. +7(812)603-76-74

Звонки бесплатны. Работаем без выходных!

Ссылка на основную публикацию